جاوا اسکریپت برای هکر ها + آموزش باگ XSS(جلسه اول)
وب سایت ها چگونه هک می شوند؟ | آموزش باگ XSS
سلام عرض میکنم خدمت شما سبزلرنی های عزیز دوست داشتنی ((: امید وارم حالتون خوب باشه
با یه مطلب با کیفیت و متفاوت دیگه در خدمت شما هستم ! اما قرار نیست در این بخش یه مقاله
نسبتا طولانی داشته باشیم ! بلکه ما سعی کردیم در این بخش مفاهیم رو در بستر ویدیو برای شما
عزیزان انتقال بدیم ! یک موضوع مهمی که همیشه در زمینه تست نفوذ و امنیت وب اپلیکیشن ها هست
اینه که اکثر طراحای وب عزیز ما یادشون میره که ورودی هارو اعتبار سنجی کنن ! و همین امر باعث میشه
که هکر بیاد و سو استفاده کنه از این اوضاع و مقادیر مخربی رو ارسال بکنه و همین باعث میشه که دیتاهایی
از وب اپلیکیشن ما سرقت بشه ! (البته این فقط ی مثال خیلی خیلی ساده بود ! بحث تست نفوذ وب خیلی گسترده هست)
قراره چیا یاد بگیریم؟
بحث ما در این پست آموزشی مقوله تست نفوذ با جاوا اسکریپت هستش ! به معنای ساده بخوام بگم
قراره در این بخش ما به کاربرد جاوا اسکریپت در هک و امنیت بپردازیم و از اونجایی ام که جاوا اسکریپت
یک زبان سمت کاربرد هستش ! یک سری سناریو هارو خدمت شما عرض میکنیم ! و بعد از این موارد
ما به شرح آسیب پذیری XSS میپردازیم !
XSS کیلویی چند؟
ما یه دوستی داشتیم که رفته بود از وب سایت یکی از رفیقاش در بخش Search سایتش
XSS گرفته بود ! بعد اومد پیش من گفت اقا قدیر. به نظرتون این باگ رو برم بهش گزارش بدم ؟؟
بنده هم ایشون رو راهنمایی کردم و بهش گفتم که این باگ رو چطوری ریپورت بده ! اما بر خلاف انتظار ما
بجای هدیه دادن که هیچ ! تشکر هم نکردند و گفتند که XSS که باگ خاصی نیست ! اهمیتی نداره ک ?
اتفاقا کسی که داشت این حرف رو میزد خودش یک فول استک بود و چند روز گذشت تا دیدیم بععععله
داداشمون رفته رو سایتش WAF انداخته و حالا بیا اینشو درست کن (البته ما WAF شو دور زدیم)
سریع به دوستم پیام دادم گفتم این بایپسو بهش میدی و یه توسری خوب بهش میزنی که شما مگه نمیگفتی
که xss چیز خاصی نداره؟؟ پس چطور شد رفتی ورودی هاتو اعتبار سنجی کردی و بعدش WAF انداختی؟
XSS واقعا کیلویی چند؟
اگه بخوام برای این بحث یه قیمتی رو بگم باید بر حسب طرف مقابلم قیمت بگم !
مثلا شما فکرشو بکنین. یه وب سایت گنده این باگ رو داشته باشه ! ما میتونیم کاربرایی که
از اون صفحه دیدن میکنن رو به اصطلاح خودمونی “پدرشون رو در بیاریم ? ” چرا؟ چون این یک باگ
سمت کاربر هست ! و هکر جدا از بحث سرقت کوکی ها میتونه طرفو به یک صفحه فیشینگ انتقال بده !
میتونه یک بد افزار رو روی سیستمش بارگزاری کنه(سناریو براش زیاده !) و خیلی از کارای دیگه! که ما در ویدیوی
آموزشی رایگان مون به این موارد خواهیم پرداخت ! البته. بهم قول بدید که ویدیو رو تا میتونین انتشار بدین (:
کمی توضیح بیشتر !
من قبلا راجب مقوله تست نفوذ با جاوا اسکریپت و اینکه DOM چیه و غیره. دوتا مقاله در سایت ویرگول نوشتم
برای دسترسی به این مقاله میتونین به این لینک و این لینک مراجعه کنید (: اگرم با بحث جاوا اسکریپت آشنایی
ندارید! پیشنهاد میکنم که به دوره رایگان جاوا اسکریپت ما مراجعه کنید (: برای دسترسی روی این لینک کلیک کنید !
خدای XSS شوید (:
زیاد تند نرید ! بحث XSS که هیچ ! خود مقوله وب هکینگ اونقدر گسترده هست روز به روز آسیب پذیری های
جدیدی در این زمینه به ثبت میرسه و هرکدوم از اون اسیب پذیری ها برای خودش یک دنیاییه ! و حتی خود
xss رو شما نمیتونید تو یک ویدیو و یا یک دوره آموزشی یاد بگیرید ): بحث تست نفوذ و امنیت بیشتر یک بحث
تجربی هست ! در اموزش ها معمولا به شما بیس کار رو یاد میدن و برای شما یک سری چالش هارو حل میکنند
تا شما یک ذهنیتی رو در اون زمینه به دست بیارید (: اما اینکه بخواید یک آدم حرفه ای بشید. باید بهتون بگم که
یه روزه نمیشه ! باید تلاش کنین ! وب اپلیکیشن های آسیب پذیر حالت های مختلفی دارن ! و شما تو خود همین باگ xss
باید اونقدر به چالش های Real بربخورید که فول فول بشید ! حالا باگای دیگه رو خدا رحمت کنه ! اونا هم گستردگی خودشون رو دارا هستن
XSS تو چه جاهایی رخ میده ؟
این بحثو بزاریم برای بعد (: البته ممکنه تو خود آموزشم بگم ! ولی قرار شد مقاله رو زیاد
طولانیش نکنیم ! و فقط درحد آشنایی یک مقدمه ای رو به شما عزیزان ارائه بدیم !
اینجا راجب تاریخچه خود XSS و غیره هم صحبتی نشده ! و به خیلی از مباحث در ویدیوی
آموزشی مون میپردازیم ! حتما حتما وب سایت سبز لرن رو به دوستاتون معرفی کنید (:
در جلسه بعد !؟
در جلسه بعد ان شاءالله به انواع XSS میپردازیم و حالت های اون رو برسی میکنیم و یک الی
دو سناریوی مربوط به دزدین یوزر و پسورد قربانی ها رو اجرا میکنیم تا شمابتوانید این بحث عمیق
را تا حدودی درک کنید ! قسمت اول این ویدیوی آموزشی رو میتونید در همین باکس دانلود دریافت کنید !
[dlbox title="what is XSS" link="https://dl.sabzlearn.ir/security/xss1.rar" type="ویدیو" size="100MB" pass="ندارد"]
نظری برای این مقاله ثبت نشده است