وب سایت ها چگونه هک می شوند؟ | آموزش باگ XSS

سلام عرض میکنم خدمت شما سبزلرنی های عزیز دوست داشتنی ((: امید وارم حالتون خوب باشه

با یه مطلب با کیفیت و متفاوت دیگه در خدمت شما هستم ! اما قرار نیست در این بخش یه مقاله

نسبتا طولانی داشته باشیم ! بلکه ما سعی کردیم در این بخش مفاهیم رو در بستر ویدیو برای شما

عزیزان انتقال بدیم ! یک موضوع مهمی که همیشه در زمینه تست نفوذ و امنیت وب اپلیکیشن ها هست

اینه که اکثر طراحای وب عزیز ما یادشون میره که ورودی هارو اعتبار سنجی کنن ! و همین امر باعث میشه

که هکر بیاد و سو استفاده کنه از این اوضاع و مقادیر مخربی رو ارسال بکنه و همین باعث میشه که دیتاهایی

از وب اپلیکیشن ما سرقت بشه ! (البته این فقط ی مثال خیلی خیلی ساده بود ! بحث تست نفوذ وب خیلی گسترده هست)

قراره چیا یاد بگیریم؟

بحث ما در این پست آموزشی مقوله تست نفوذ با جاوا اسکریپت هستش ! به معنای ساده بخوام بگم

قراره در این بخش ما به کاربرد جاوا اسکریپت در هک و امنیت بپردازیم و از اونجایی ام که جاوا اسکریپت

یک زبان سمت کاربرد هستش ! یک سری سناریو هارو خدمت شما عرض میکنیم ! و بعد از این موارد

ما به شرح آسیب پذیری XSS میپردازیم !

XSS کیلویی چند؟

ما یه دوستی داشتیم که رفته بود از وب سایت یکی از رفیقاش در بخش Search سایتش

XSS گرفته بود ! بعد اومد پیش من گفت اقا قدیر. به نظرتون این باگ رو برم بهش گزارش بدم ؟؟

بنده هم ایشون رو راهنمایی کردم و بهش گفتم که این باگ رو چطوری ریپورت بده ! اما بر خلاف انتظار ما

بجای هدیه دادن که هیچ ! تشکر هم نکردند و گفتند که XSS که باگ خاصی نیست ! اهمیتی نداره ک ?

اتفاقا کسی که داشت این حرف رو  میزد خودش یک فول استک بود و چند روز گذشت تا دیدیم بععععله

داداشمون رفته رو سایتش WAF انداخته و حالا بیا اینشو درست کن (البته ما WAF شو دور زدیم)

سریع به دوستم پیام دادم گفتم این بایپسو بهش میدی و یه توسری خوب بهش میزنی که شما مگه نمیگفتی

که xss چیز خاصی نداره؟؟ پس چطور شد رفتی ورودی هاتو اعتبار سنجی کردی و بعدش WAF انداختی؟

XSS واقعا کیلویی چند؟

اگه بخوام برای این بحث یه قیمتی رو بگم باید بر حسب طرف مقابلم قیمت بگم !

مثلا شما فکرشو بکنین. یه وب سایت گنده این باگ رو داشته باشه ! ما میتونیم کاربرایی که

از اون صفحه دیدن میکنن رو به اصطلاح خودمونی “پدرشون رو در بیاریم ? ” چرا؟ چون این یک باگ

سمت کاربر هست ! و هکر جدا از بحث سرقت کوکی ها میتونه طرفو به یک صفحه فیشینگ انتقال بده !

میتونه یک بد افزار رو روی سیستمش بارگزاری کنه(سناریو براش زیاده !) و خیلی از کارای دیگه! که ما در ویدیوی

آموزشی رایگان مون به این موارد خواهیم پرداخت ! البته. بهم قول بدید که ویدیو رو تا میتونین انتشار بدین (:

کمی توضیح بیشتر !

من قبلا راجب مقوله تست نفوذ با جاوا اسکریپت و اینکه DOM چیه و غیره. دوتا مقاله در سایت ویرگول نوشتم

برای دسترسی به این مقاله میتونین به این لینک و این لینک مراجعه کنید (: اگرم با بحث جاوا اسکریپت آشنایی

ندارید! پیشنهاد میکنم که به دوره رایگان جاوا اسکریپت ما مراجعه کنید (: برای دسترسی روی این لینک کلیک کنید !

خدای XSS شوید (:

زیاد تند نرید ! بحث XSS که هیچ ! خود مقوله وب هکینگ اونقدر گسترده هست روز به روز آسیب پذیری های

جدیدی در این زمینه به ثبت میرسه و هرکدوم از اون اسیب پذیری ها برای خودش یک دنیاییه ! و حتی خود

xss رو شما نمیتونید تو یک ویدیو و یا یک دوره آموزشی یاد بگیرید ): بحث تست نفوذ و امنیت بیشتر یک بحث

تجربی هست ! در اموزش ها معمولا به شما بیس کار رو یاد میدن و برای شما یک سری چالش هارو حل میکنند

تا شما یک ذهنیتی رو در اون زمینه به دست بیارید (: اما اینکه بخواید یک آدم حرفه ای بشید. باید بهتون بگم که

یه روزه نمیشه ! باید تلاش کنین ! وب اپلیکیشن های آسیب پذیر حالت های مختلفی دارن ! و شما تو خود همین باگ xss

باید اونقدر به چالش های Real بربخورید که فول فول بشید ! حالا باگای دیگه رو خدا رحمت کنه ! اونا هم گستردگی خودشون رو دارا هستن

XSS تو چه جاهایی رخ میده ؟

این بحثو بزاریم برای بعد (: البته ممکنه تو خود آموزشم بگم  ! ولی قرار شد مقاله رو زیاد

طولانیش نکنیم ! و فقط درحد آشنایی یک مقدمه ای رو به شما عزیزان ارائه بدیم !

اینجا راجب تاریخچه خود XSS و غیره هم صحبتی نشده ! و به خیلی از مباحث در ویدیوی

آموزشی مون میپردازیم ! حتما حتما وب سایت سبز لرن رو به دوستاتون معرفی کنید (:

در جلسه بعد !؟

در جلسه بعد ان شاءالله به انواع XSS میپردازیم و حالت های اون رو برسی میکنیم و یک الی

دو سناریوی مربوط به دزدین یوزر و پسورد قربانی ها رو اجرا میکنیم تا شمابتوانید این بحث عمیق

را تا حدودی درک کنید ! قسمت اول این ویدیوی آموزشی رو میتونید در همین باکس دانلود دریافت کنید !

[dlbox title="what is XSS" link="https://dl.sabzlearn.ir/security/xss1.rar" type="ویدیو" size="100MB" pass="ندارد"]