0
0
4.33 از 3 رأی

پیشنهاد شگفت انگیز

50,000 تومان 30,000 تومان

1,500 تومان پس از ثبت نام در دوره به عنوان هدیه به کیف پول شما در سایت اضافه خواهد شد

دوره تجزیه و تحلیل آسیب پذیری XSS با جاوا اسکریپت

دسته: منتشر شده در 1399-03-28 13 نظر به روز شده در 1400-01-25
آموزش باگ xss

.:: دوره تجزیه و تحلیل آسیب پذیری XSS با جاوا اسکریپت ::.

 
 

جهت دسترسی به فایل و ویدیو های دوره تجزیه و تحلیل آسیب پذیری XSS به قسمت دانلود ها در حساب کاربری خود بروید !

 

امروزه متاسفانه با اشتباه بسیاری از برنامه نویسان سمت وب حفره های امنیتی
زیادی رو یک وب سایت به وجود می آیند که متاسفانه یکی از شایع ترین (باگ) حفره امنیتی Cross Site Script که برای اینکه با CSS اشتباه گرفته نشود به آن XSS گفته می شود !

 

ما در این دوره آموزشی تمامی سعی خود را کرده ایم
که یک پشتیبانی خوبی از تمامی برنامه نویسان و مدیران وب کرده تا بتوانند اگر داشتن این حفره خطرناگ بی خبر هستند آن را شناسایی و کاملا رفع کنند، در ادامه نگاهی داشته باشیم به برنامه نویسی جاوا اسکریپت و حفره امنیتی XSS و..

 

زبان برنامه نویسی جاوا اسکریپت چیست ؟

جاوا اسکریپت (به انگلیسی: JavaScript‎) با کوته‌نوشت JS نوعی زبان برنامه‌ نویسی است
که با ویژگی‌های ارائه شده در مشخصات اکما اسکریپت مطابق می‌باشد. جاوا اسکریپت نوعی زبان سطح بالا، کامپایل درجا، و چندالگویی است. جاوا اسکریپت نحو آکولادی دارد، نوع دهی آن پویا است، نوع شیء گرایی اش بر پایه پیش‌نمونه است، و دارای توابع کلاس اول می‌باشد. در کنار HTML و CSS، جاوا اسکریپت یکی از فناوری‌ های هسته‌ای وب جهان‌گستر است.

 

علیرغم اشتباه عمومی زبان جاوا اسکریپت با زبان جاوا ارتباطی ندارد !
دلیل این نام گذاری محبوبیت زبان جاوا در هنگام تولد جاوا اسکریپت بود اگر چه ساختار این زبان به سی پلاس پلاس (++C) و جاوا شباهت دارد که این امر برای یادگیری آسان در نظر گرفته شده‌است. از همین رو دستورهای متداول مانند if, for, try..catch ,”while” و… در این زبان هم یافت می‌گردند. این زبان می‌تواند هم به صورت ساخت یافته و هم به صورت شی گرا مورد استفاده قرار گیرد.

 

در مورد زبان برنامه نویسی (Java Script) بیشتر بدانید !

در این زبان اشیاء با اضافه شدن متدها و خصوصیات پویا به اشیاء خالی ساخته می‌شوند !
بر خلاف جاوا بعد از ساخته شدن یک شی به روش فوق، این شی می‌تواند به عنوان نمونه‌ای برای ساخته شدن اشیاء مشابه مورد استفاده قرار گیرد. به علت این قابلیت زبان جاوا اسکریپت برای ساختن نمونه از سیستم، مناسب است. جاوا اسکریپت (قالب پرونده) پسوند های نام پرونده JS نوع رسانهٔ اینترنتی (obsolete) شناسانه نوع یکسان گونه زبان اجرانامه‌ نویسیکاربرد گسترده این زبان در سایت‌ها و صفحات اینترنتی بوده و به کمک این زبان می‌توان به اشیاء داخل صفحات HTML دسترسی پیدا کرد و آن‌ها را تغییر داد. به همین علت برای پویانمایی در سمت کاربر، از این زبان استفاده می‌شود.

 

دوره باگ xss

 

کاربرد زبان برنامه نویسی جاوا اسکریپت در هک و امنیت چیست ؟

جاوا اسکریپت مکمل زبان PHP هست بنابراین آن به بهترین زبان برنامه نویسی برای هک کردن برنامه های تحت وب تبدیل شده است. متخصصان امنیتی غالباً از روش هکرهای کلاه سیاه برای نوشتن اسکریپت های متقابل در جاوا اسکریپت تقلید می کنند و به یک زبان خوب برای هک کردن برنامه های وب پیچیده تبدیل شده است.

 

  • یکی از زبان های مهم برای ساخت اسکریپت XSS
  • جاوا اسکریپت می تواند DOM مرورگر را بسیار آسان دستکاری کند ، بنابراین آن را به یک راه حل مناسب برای ساخت کرم های اینترنتی تبدیل می کند.
  • این می تواند برای تقلید از حملات نه تنها در سمت سرور بلکه در سمت کلاینت نیز مورد استفاده قرار گیرد
  • جاوا اسکریپت یک زبان واضح برای ایجاد برنامه های هک تبلیغاتی مزاحم است که در زمان های اخیر به طور فزاینده ای افزایش می یابد !

     

حفره امنیتی XSS چیست ؟

XSS مخفف Cross Site Scripting هست اما بدلیل اشتباه نگرفته شدن با CSS اون را XSS میخوانند.

 

  • نوعی آسیب پذیری امنیتی رایانه است که معمولاً در برنامه های وب مشاهده می شود.
    حملات XSS به مهاجمان امکان می دهد اسکریپت های سمت کلاینت را به صفحات وب که توسط سایر کاربران مشاهده می شود ، تزریق کنند. یک آسیب پذیری اسکریپت در سطح سایت ممکن است توسط هکرها برای دور زدن کنترل های دسترسی مانند پالاسی ها  استفاده شود. XSS در وب سایت ها ، تقریباً 84٪ از کلیه آسیب پذیری های امنیتی ثبت شده توسط Symantec تا سال 2007 را به خود اختصاص داده است. در سال 2017 ، حملات XSS هنوز یک بردار اصلی تهدید در نظر گرفته  میشد .اثرات XSS بسته به حساسیت اطلاعات داده شده توسط سایت آسیب پذیر و ماهیت هرگونه کاهش امنیتی که توسط شبکه مالک سایت انجام می شود ، در محدوده مختلف از ناراحتی های کوچک تا ریسک امنیتی قابل توجه است.

  • مهاجم با استفاده از XSS جهت ارسال اسکریپت های مخرب به قربانی بهره می برد !
    مرورگر کاربر نهایی، هیچ راهی برای تشخیص نامطمئن بودن اسکریپت نداشته و آن را اجرا خواهد نمود.
    به دلیل اینکه مرورگر فرض را بر این می گذارد که اسکریپت ها از منبع مورد اعتماد می آیند و به اسکریپت مخرب اجازه ی دسترسی به تمام داده هایی که دسترسی به آن توسط مرورگر برای یک سایت امکان پذیر است را می دهد. این اطلعات حساس شامل کوکی ها، token های مربوط به یک نشست یا Session و.. می شوند. به وسیله ی این اسکریپت ها حتی می توان محتوای یک صفحه ی HTML را دوباره نوشت !

سرفصل ها و جلسات دوره بررسی آسیب پذیری XSS با جاوا اسکریپت

15 جلسه
ویدئو اول : شروع برنامه نویسی جاوا اسکریپت | 8 دقیقه
شروع برنامه نویسی جاوا اسکریپت بخش اول ویدئو
ویدئو دوم : شروع برنامه نویسی جاوا اسکریپت | 30 دقیقه
شروع برنامه نویسی جاوا اسکریپت بخش دوم ویدئو
ویدئو سوم : شروع برنامه نویسی جاوا اسکریپت | 30 دقیقه
شروع برنامه نویسی جاوا اسکریپت بخش سوم ویدئو
ویدئو چهارم : شروع برنامه نویسی جاوا اسکریپت | 23 دقیقه
شروع برنامه نویسی جاوا اسکریپت بخش چهارم ویدئو
ویدئو پنجم : شروع برنامه نویسی جاوا اسکریپت | 17 دقیقه
شروع برنامه نویسی جاوا اسکریپت بخش آخر ویدئو
ویدئو ششم : حفره امنیتی XSS چیست ؟ | 21 دقیقه
حفره امنیتی XSS چست ؟ تجزیه و تحلیل آسیب پذیری XSS ویدئو
ویدئو هفتم : شروع بحث عملی با حفره XSS و امنیت آن | 7 دقیقه
شروع بحث عملی با باگ XSS بخش دوم ویدئو
ویدئو هشتم : شروع بحث عملی با حفره XSS و امنیت آن | 16 دقیقه
شروع بحث عملی با باگ XSS بخش سوم ویدئو
ویدئو نهم : شروع بحث عملی با حفره XSS و امنیت آن | 23 دقیقه
شروع بحث عملی با باگ XSS بخش چهارم ویدئو
ویدئو دهم : شروع بحث عملی با حفره XSS و امنیت آن | 13 دقیقه
شروع بحث عملی با باگ XSS بخش پنجم ویدئو
ویدئو یازدهم : شروع بحث عملی با حفره XSS و امنیت آن | 15 دقیقه
شروع بحث عملی با باگ XSS بخش آخر ویدئو
ویدئو دوازدهم : پچ کردن یا برطرف کردن XSS باگ | 15 دقیقه
آموزش پچ کردن یا برطرف کردن حفره امنیتی XSS و روش های آن ویدئو
ویدئو سیزدهم : آپدیت بررسی دقیق تر XSS باگ | 17 دقیقه
آپدیت : آموزش بررسی دقیق تر حفره امنیتی XSS ویدئو
ویدئو چهاردهم : آپدیت دورک نویسی XSS باگ | 15 دقیقه
آپدیت : آموزش دورک نویسی برای XSS ویدئو
ویدئو شانزدهم : آپدیت مبحث کار بر روی یک پروژه عملی | 20 دقیقه
آپدیت : آموزش مبحث کار بر روی یک پروژه عملی
شناخت شما از حفره امنیتی XSS پس از دیدن دوره !
حرفه ای شدن شما در این زمینه 99%

 

• این دوره برای چه کسانی مناسب هست ؟

  1. دانشجویان رشته های کامپیوتر
  2. افرادی که قصد ورود به حوزه شبکه را دارند !
  3. بخصوص افرادی که قصد ورود به عرصه نوین هک و امنیت را دارند !

 

• کیفیت ویدیوها چطور هست ؟

تمام ویدیو ها با کیفیت Full HD و صدای با کیفیت همانند ویدیو معرفی دوره می باشد !

مدرس دوره پایتونمدرس این دوره کیست ؟

 
  • مهرشاد محمدی
  1. متخصص وردپرس، فعال در زمینه سیسکو
  2. فعال در زمینه تست نفوذ و امنیت در زیر ساخت های ارتباطی و شبکه های کامپیوتری
  3. مدرس دوره های تست نفوذ و برنامه نویسی

         کانال اخبار دوره های سایت : رفتن به کانال تلگرام !

 

اشتراک گذاری:
برچسب‌ها:

نظرات

6 دیدگاه برای دوره تجزیه و تحلیل آسیب پذیری XSS با جاوا اسکریپت

دیدگاه خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

  1. Avatar

    سیدحسین

    سلام من یه سوالی داشتم یه مرورگر هست به نام کریپتو تب که با وارد شدن به ان میتونی استخراج بیت کوین به صورت ابری انجام بدی بعد توی گوگل داشتم گشت میزدم یه چیزی دیدم که نوشته استخراج بیت کوین با کریپتو تب و هک ان توسط اسکریپت بعد رفتم واردش شدم ببینم چی هست بعد که واردش شدم میگفت که اگه بخوای از این اسکریپت ها استفاده بکنی باید پول بدی بگیری بعد نگاه به قیمتش کردم دیدم زده ۱۹0هزار تومن که اگه این کار و اون کارو بکنی یه مشت شرط و شروط گذاشته بود که اگر انجام بدی تخفیف ۵۰ هزار تومنی میگیری الان میخواستم بدونم این کار یعنی او اسکریپت رو از کجا به دست اوردن ایا اونا از کد جاوااسکریپت استفاده کرده بوده و اگر این کارو کرده این اموزشش کجا ها هست من خیلی دوست داشتم این اموزش یاد بگیرم
    لطفا اگر این پیام منو دیدید به من به طور کامل جواب بدید به سوالم چون الان اونقدر گشتم و به جایی نرسیدم که دیگه واقعا خیلی اصبانی شدم لطفا به من در این سوال راهنمایی بفرمایید ممنون میشم جوابمو بدید

  2. Avatar

    reza

    سلام دوره وب هکینگ کی میزارید ؟

    • مهدی حسنی

      مهدی حسنی

      سلام انشالا سال بعد

      زمان مشخص نیست دقیق

  3. Avatar

    farhad

    سلام لطفا نحوه عضویت توی سایت پن تست اکادمی و رفتن به لینک چلنج هایی که انجام دادید رو بگید …اصلا نمیتونیم این چلنج ها رو پیدا کنیم و باشون تمرین کنیم

    • Mehrshad Mohammadi

      Mehrshad Mohammadi

      عرض ادب و احترام خدمت شما دوست عزیز :
      لینک آزمایشگاه در URL کامل مشخص است اگر دقت کنید…

      لینک آزامایشگاه : http://pentesteracademylab.appspot.com/lab/webapp/jfp/1

      برای رفتن به قسمت های بعد -> کافیه عدد 1 در انتهای URL را عوض کنید … مثال :
      http://pentesteracademylab.appspot.com/lab/webapp/jfp/2
      http://pentesteracademylab.appspot.com/lab/webapp/jfp/3
      http://pentesteracademylab.appspot.com/lab/webapp/jfp/4

      • Avatar

        فرهاد

        403. That’s an error.
        Your client does not have permission to get URL /lab/webapp/jfp/1 from this server. That’s all we know.

        با این خطا مواجه میشیم وقتی میخواایم لینک هارو باز کنیم….تاریخچه مرور گر و هم پاک میکنیم بازم همونظوری میشه…….شماهم با این خطا روبه رو میشید؟راه حلی داره؟ هم توی موزیلا و هم توی کروم

        • مهدی حسنی

          مهدی حسنی

          سلام ای پی ایران تحریمه با vpn تشریف ببرید

  4. Avatar

    علی

    ممنون از این دورتون استاد خیلی خوب توضیح داده بودید

    • Mehrshad Mohammadi

      Mehrshad Mohammadi

      سلام و عرض ادب خدمت شما.
      ممنون از نظر شما …
      منتظر اپديت باشيد !

  5. Avatar

    مهدی

    سلام استاد بعد از دیدن این دوره چقدر به xss تسلط پیدا میکنیم؟

    • Mehrshad Mohammadi

      Mehrshad Mohammadi

      عرض ادب و احترام خدمت شما.
      شما بعد مشاهده اين دوره تا سطح متوسط رو به بالا با xss اشنا ميشويد…
      و حتي منابعي رو هم معرفي كرديم براي سطح بالاتر ياد گرفتند…
      اما احتمال زياد اين دوره ابديت ميشه تا سطح پيشرفته اما خوب يك سري مشكلات وجود داره از جمله
      – يك سري محدويت ها
      -كار با ابزار burp suite
      اگر استقبال از اين دوره افزايش پيدا كند ابديت ميكنيم دوره رو تا سطح پيشرفته..

  6. رضا فرزانه پور

    boombeachgame16

    سلام کل ویدیو ها برای من ۱۳ تا هستن در صورتی که نوشتید ۱۶ تا
    ضمنا اپدیت دوره هم موجود نبود در بین فایل ها

    • مهدی حسنی

      مهدی حسنی

      سلام مهندس ، اپدیت هنوز اضافه نشده و با اپدیت 16 مورد هست یا بیشتر که ظرف 10 یا 12 روز اماده میشه

      نوار دوره هم دقت کرده باشید نوشته 85 درصد دوره فعلا تکمل شده