⚠️ ثغرة (XSS) 🧑💻
📍ما هي البرمجة النصية عبر المواقع (XSS)؟
هي ثغرة أمنية على الويب تتيح للمهاجم اختراق التفاعلات التي يجريها المستخدمون مع تطبيق ضعيف حيث يسمح للمهاجم بالتحايل على نفس سياسة الأصل المصممة لفصل مواقع الويب المختلفة عن بعضها البعض.
عادةً ما تسمح نقاط الضعف في البرمجة النصية عبر المواقع للمهاجم بالتنكر كمستخدم ضحية.
إذا كان المستخدم الضحية يتمتع بامتيازات الوصول داخل التطبيق، فقد يتمكن المهاجم من التحكم الكامل في جميع وظائف وبيانات التطبيق.
📍كيف تعمل ثغرة XSS؟
تعمل البرمجة النصية عبر المواقع من خلال معالجة موقع ويب ضعيف بحيث يعيد JavaScript ضار للمستخدمين.
عندما يتم تنفيذ التعليمات البرمجية الضارة داخل متصفح الضحية، يمكن للمهاجم اختراق تفاعله مع التطبيق بشكل كامل.
📍ما هي أنواع هجمات XSS ؟
الXSS Reflected: حيث يأتي البرنامج النصي الضار من طلب HTTP الحالي.
📍الXSS Stored: حيث يأتي البرنامج النصي الضار من قاعدة بيانات موقع الويب.
📍الXSS DOM-based: حيث توجد الثغرة الأمنية في التعليمات البرمجية من جانب العميل بدلاً من التعليمات البرمجية من جانب الخادم.
📍الReflected cross-site scripting:
هي أبسط مجموعة متنوعة من البرمجة النصية عبر المواقع. ينشأ عندما يتلقى أحد التطبيقات بيانات في طلب HTTP ويتضمن تلك البيانات في الاستجابة الفورية بطريقة غير آمنة.
📍الStored cross-site scripting:
يُعرف أيضًا باسم XSS المخزن أو من الدرجة الثانية، حيث ينشأ عندما يتلقى التطبيق بيانات من مصدر غير موثوق به ويتضمن تلك البيانات في استجابات HTTP اللاحقة بطريقة غير آمنة.
يمكن تقديم البيانات المعنية إلى التطبيق عبر طلبات HTTP، على سبيل المثال التعليقات على منشور مدونة، أو ألقاب المستخدم في غرفة الدردشة، أو تفاصيل الاتصال على طلب العميل.
📍الDOM-based cross-site scripting
ينشأ DOM XSS عندما يحتوي التطبيق على بعض JavaScript من جانب العميل الذي يعالج البيانات من مصدر غير موثوق به بطريقة غير آمنة، عادةً عن طريق إعادة البيانات إلى DOM.
📍ما الذي يمكن استخدام XSS لأجله؟
عادةً ما يكون المهاجم الذي يستغل ثغرة أمنية
في البرمجة عبر المواقع قادرًا على:
1️⃣ينتحل شخصية المستخدم الضحية أو يتنكر فيه.
2️⃣تنفيذ أي إجراء يستطيع المستخدم القيام به.
3️⃣ قراءة أي بيانات يستطيع المستخدم الوصول إليها.
4️⃣الحصول على بيانات اعتماد تسجيل دخول المستخدم.
5️⃣إجراء تشويه افتراضي لموقع الويب.
6️⃣إدخال وظائف حصان طروادة في موقع الويب.
🚩تأثير ثغرات XSS:
📍يعتمد التأثير الفعلي لهجوم XSS بشكل عام على طبيعة التطبيق ووظائفه وبياناته وحالة المستخدم المعرض للخطر على سبيل المثال:
1️⃣في تطبيق الكتيبات الدعائية، حيث يكون جميع المستخدمين مجهولين وجميع المعلومات عامة، يكون التأثير غالبا ضئيلا.
2️⃣في تطبيق يحتوي على بيانات حساسة، مثل المعاملات المصرفية أو رسائل البريد الإلكتروني أو سجلات الرعاية الصحية ، يكون التأثير خطيراً في العادة.
