نفذ هجمات xss على طريقة الهاكرز الكبار على أي موقع مها كان محميا مع هذه الحيلة البسيطة
في موضوع سابق من مواضيع مدونة حوحو للمعلوميات ، كنا قد استعرضنا معكم هجمات xss وكيفية تنفيذها على طريقة الهاكرز الكبار ، لكن لا بد أن الكثيرين وجدوا مشاكل في تطبيق ما شاركناه من حيل ، نظرا لكون العديد من المواقع مؤمنة جيدا ضد هذا النوع من الهجمات ، لهذا في تدوينة اليوم سنشارككم احدى الطرق الاحترافية التي يتبعها الهاكرز المحترفون لتجاوز أغلب نقاط الأمن التي تكون عبارة عن سكريبتات تقوم بمنع وحذف أي شيء يتم ادخاله (تعليق مثلا) في حالة ما كان يحتوي علامة أو عبارة خاصة ما (مثلا ()alert) ، و تجذر الاشارة الى أن أفضل طريقة دائما لتجاوز هذه السكريبتات يبقى هو قراءتها اولا و فهمها جيدا عن طريق اظهار الكود سورس لصفحة الموقع الذي تريد الهجوم عليها ، ثم محاولة انشاء سكريبت أخر يتجاوز سكريبتات الامان و يجعلها غير مجدية ، ثم ادخاله في مكان ما خاص بالكتابة كقسم التعليقات مثلا .
أما عن الحيلة التي سنشاركها معكم اليوم فهي تتمثل بكل بساطة في استخدام ما يسمى الunicode لكتابة أوامر السكريبت الذي تريد ادخاله ، اذ أن معظم المواقع خاصة المدونات التي تستعمل قوالب مجانية ، لا تكون مؤمنة ضد هذا النوع من الحيل ، وبالتالي ستتمكن بسهولة من تشغيل أي سكريبت للتحكم بالموقع فقط باستخدام الunicode ، مثلا عوض كتابة alert(‘hacked’) تقوم بترجمة كل حرف أو رمز الى الunicode الخاص به ، ويكتب هذا الأخير على شكل \uxxxx حيث u غير متغير و يعوض xxxx بأربع أرقام تشكل عددا هو الذي يدعى ال unicode و يمكنك ببساطة الحصول على الunicode لأي حرف أو رمز تريد أو حتى ترجمة أي سكريبت ما بسهولة تامة باستخدام هذا الموقع ، وبعدها تقوم بوضع الأمر الذي توده بهذه الطريقة .
<script><ScrIpt> ضع هنا الأمر بعد ترجمته الى الunicode </ScrIpt></script>
وبهذه الطريقة ستكون نسبة نجاح الهجمة 50 في المائة خاصة اذا كنت تستهدف بعض المواقع الضعيفة كالمدونات غير الاحترافية مثلا ، أما اذا كنت تستهدف احد المواقع القوية فغالبا هذه الطريقة لن تعمل معك ، وتذكر أن القالب الذي صمم به الموقع يلعب دورا هاما في مذى قوة الموقع و أمانه ، لكن لا تقلق حتى اذا لم تجدي معك حيلة اليوم نفعا ، فهناك طرق أخرى أكثر احترافية سنعمل على مشاركتها معكم قريبا ، لذا ابقى دائما على اطلاع بمدونة حوحو حتى لا تفوت أي جديد .-------------
الموضوع من طرف منير
أما عن الحيلة التي سنشاركها معكم اليوم فهي تتمثل بكل بساطة في استخدام ما يسمى الunicode لكتابة أوامر السكريبت الذي تريد ادخاله ، اذ أن معظم المواقع خاصة المدونات التي تستعمل قوالب مجانية ، لا تكون مؤمنة ضد هذا النوع من الحيل ، وبالتالي ستتمكن بسهولة من تشغيل أي سكريبت للتحكم بالموقع فقط باستخدام الunicode ، مثلا عوض كتابة alert(‘hacked’) تقوم بترجمة كل حرف أو رمز الى الunicode الخاص به ، ويكتب هذا الأخير على شكل \uxxxx حيث u غير متغير و يعوض xxxx بأربع أرقام تشكل عددا هو الذي يدعى ال unicode و يمكنك ببساطة الحصول على الunicode لأي حرف أو رمز تريد أو حتى ترجمة أي سكريبت ما بسهولة تامة باستخدام هذا الموقع ، وبعدها تقوم بوضع الأمر الذي توده بهذه الطريقة .
<script><ScrIpt> ضع هنا الأمر بعد ترجمته الى الunicode </ScrIpt></script>
وبهذه الطريقة ستكون نسبة نجاح الهجمة 50 في المائة خاصة اذا كنت تستهدف بعض المواقع الضعيفة كالمدونات غير الاحترافية مثلا ، أما اذا كنت تستهدف احد المواقع القوية فغالبا هذه الطريقة لن تعمل معك ، وتذكر أن القالب الذي صمم به الموقع يلعب دورا هاما في مذى قوة الموقع و أمانه ، لكن لا تقلق حتى اذا لم تجدي معك حيلة اليوم نفعا ، فهناك طرق أخرى أكثر احترافية سنعمل على مشاركتها معكم قريبا ، لذا ابقى دائما على اطلاع بمدونة حوحو حتى لا تفوت أي جديد .-------------
الموضوع من طرف منير
من طرف: حوحو للمعلوميات http://bit.ly/2RAuI6I
بواسطة: IFTTT
ليست هناك تعليقات