مهرشاد محمدی
درباره مدرس علاقه مند به شبکه و امنیت و تست و نفوذ و آشنا با زبان های برنامه نویسی php – java – python – javascript هستم و در آخر دوست دار...
مشاهده بیشتردوره تجزیه و تحلیل آسیب پذیری XSS با جاوا اسکریپت
.:: دوره تجزیه و تحلیل آسیب پذیری XSS با جاوا اسکریپت ::.
جهت دسترسی به فایل و ویدیو های دوره تجزیه و تحلیل آسیب پذیری XSS به قسمت دانلود ها در حساب کاربری خود بروید !
امروزه متاسفانه با اشتباه بسیاری از برنامه نویسان سمت وب حفره های امنیتی
زیادی رو یک وب سایت به وجود می آیند که متاسفانه یکی از شایع ترین (باگ) حفره امنیتی Cross Site Script که برای اینکه با CSS اشتباه گرفته نشود به آن XSS گفته می شود !
ما در این دوره آموزشی تمامی سعی خود را کرده ایم
که یک پشتیبانی خوبی از تمامی برنامه نویسان و مدیران وب کرده تا بتوانند اگر داشتن این حفره خطرناگ بی خبر هستند آن را شناسایی و کاملا رفع کنند، در ادامه نگاهی داشته باشیم به برنامه نویسی جاوا اسکریپت و حفره امنیتی XSS و..
زبان برنامه نویسی جاوا اسکریپت چیست ؟
جاوا اسکریپت (به انگلیسی: JavaScript) با کوتهنوشت JS نوعی زبان برنامه نویسی است
که با ویژگیهای ارائه شده در مشخصات اکما اسکریپت مطابق میباشد. جاوا اسکریپت نوعی زبان سطح بالا، کامپایل درجا، و چندالگویی است. جاوا اسکریپت نحو آکولادی دارد، نوع دهی آن پویا است، نوع شیء گرایی اش بر پایه پیشنمونه است، و دارای توابع کلاس اول میباشد. در کنار HTML و CSS، جاوا اسکریپت یکی از فناوری های هستهای وب جهانگستر است.
علیرغم اشتباه عمومی زبان جاوا اسکریپت با زبان جاوا ارتباطی ندارد !
دلیل این نام گذاری محبوبیت زبان جاوا در هنگام تولد جاوا اسکریپت بود اگر چه ساختار این زبان به سی پلاس پلاس (++C) و جاوا شباهت دارد که این امر برای یادگیری آسان در نظر گرفته شدهاست. از همین رو دستورهای متداول مانند if, for, try..catch ,”while” و… در این زبان هم یافت میگردند. این زبان میتواند هم به صورت ساخت یافته و هم به صورت شی گرا مورد استفاده قرار گیرد.
در مورد زبان برنامه نویسی (Java Script) بیشتر بدانید !
در این زبان اشیاء با اضافه شدن متدها و خصوصیات پویا به اشیاء خالی ساخته میشوند !
بر خلاف جاوا بعد از ساخته شدن یک شی به روش فوق، این شی میتواند به عنوان نمونهای برای ساخته شدن اشیاء مشابه مورد استفاده قرار گیرد. به علت این قابلیت زبان جاوا اسکریپت برای ساختن نمونه از سیستم، مناسب است. جاوا اسکریپت (قالب پرونده) پسوند های نام پرونده JS نوع رسانهٔ اینترنتی (obsolete) شناسانه نوع یکسان گونه زبان اجرانامه نویسیکاربرد گسترده این زبان در سایتها و صفحات اینترنتی بوده و به کمک این زبان میتوان به اشیاء داخل صفحات HTML دسترسی پیدا کرد و آنها را تغییر داد. به همین علت برای پویانمایی در سمت کاربر، از این زبان استفاده میشود.
کاربرد زبان برنامه نویسی جاوا اسکریپت در هک و امنیت چیست ؟
جاوا اسکریپت مکمل زبان PHP هست بنابراین آن به بهترین زبان برنامه نویسی برای هک کردن برنامه های تحت وب تبدیل شده است. متخصصان امنیتی غالباً از روش هکرهای کلاه سیاه برای نوشتن اسکریپت های متقابل در جاوا اسکریپت تقلید می کنند و به یک زبان خوب برای هک کردن برنامه های وب پیچیده تبدیل شده است.
- یکی از زبان های مهم برای ساخت اسکریپت XSS
- جاوا اسکریپت می تواند DOM مرورگر را بسیار آسان دستکاری کند ، بنابراین آن را به یک راه حل مناسب برای ساخت کرم های اینترنتی تبدیل می کند.
- این می تواند برای تقلید از حملات نه تنها در سمت سرور بلکه در سمت کلاینت نیز مورد استفاده قرار گیرد
- جاوا اسکریپت یک زبان واضح برای ایجاد برنامه های هک تبلیغاتی مزاحم است که در زمان های اخیر به طور فزاینده ای افزایش می یابد !
حفره امنیتی XSS چیست ؟
XSS مخفف Cross Site Scripting هست اما بدلیل اشتباه نگرفته شدن با CSS اون را XSS میخوانند.
- نوعی آسیب پذیری امنیتی رایانه است که معمولاً در برنامه های وب مشاهده می شود.
حملات XSS به مهاجمان امکان می دهد اسکریپت های سمت کلاینت را به صفحات وب که توسط سایر کاربران مشاهده می شود ، تزریق کنند. یک آسیب پذیری اسکریپت در سطح سایت ممکن است توسط هکرها برای دور زدن کنترل های دسترسی مانند پالاسی ها استفاده شود. XSS در وب سایت ها ، تقریباً 84٪ از کلیه آسیب پذیری های امنیتی ثبت شده توسط Symantec تا سال 2007 را به خود اختصاص داده است. در سال 2017 ، حملات XSS هنوز یک بردار اصلی تهدید در نظر گرفته میشد .اثرات XSS بسته به حساسیت اطلاعات داده شده توسط سایت آسیب پذیر و ماهیت هرگونه کاهش امنیتی که توسط شبکه مالک سایت انجام می شود ، در محدوده مختلف از ناراحتی های کوچک تا ریسک امنیتی قابل توجه است. - مهاجم با استفاده از XSS جهت ارسال اسکریپت های مخرب به قربانی بهره می برد !
مرورگر کاربر نهایی، هیچ راهی برای تشخیص نامطمئن بودن اسکریپت نداشته و آن را اجرا خواهد نمود.
به دلیل اینکه مرورگر فرض را بر این می گذارد که اسکریپت ها از منبع مورد اعتماد می آیند و به اسکریپت مخرب اجازه ی دسترسی به تمام داده هایی که دسترسی به آن توسط مرورگر برای یک سایت امکان پذیر است را می دهد. این اطلعات حساس شامل کوکی ها، token های مربوط به یک نشست یا Session و.. می شوند. به وسیله ی این اسکریپت ها حتی می توان محتوای یک صفحه ی HTML را دوباره نوشت !
سرفصل ها و جلسات دوره بررسی آسیب پذیری XSS با جاوا اسکریپت
15 جلسه
• این دوره برای چه کسانی مناسب هست ؟
- دانشجویان رشته های کامپیوتر
- افرادی که قصد ورود به حوزه شبکه را دارند !
- بخصوص افرادی که قصد ورود به عرصه نوین هک و امنیت را دارند !
• کیفیت ویدیوها چطور هست ؟
تمام ویدیو ها با کیفیت Full HD و صدای با کیفیت همانند ویدیو معرفی دوره می باشد !
مدرس این دوره کیست ؟
- مهرشاد محمدی
- متخصص وردپرس، فعال در زمینه سیسکو
- فعال در زمینه تست نفوذ و امنیت در زیر ساخت های ارتباطی و شبکه های کامپیوتری
- مدرس دوره های تست نفوذ و برنامه نویسی
کانال اخبار دوره های سایت : رفتن به کانال تلگرام !
سیدحسین –
سلام من یه سوالی داشتم یه مرورگر هست به نام کریپتو تب که با وارد شدن به ان میتونی استخراج بیت کوین به صورت ابری انجام بدی بعد توی گوگل داشتم گشت میزدم یه چیزی دیدم که نوشته استخراج بیت کوین با کریپتو تب و هک ان توسط اسکریپت بعد رفتم واردش شدم ببینم چی هست بعد که واردش شدم میگفت که اگه بخوای از این اسکریپت ها استفاده بکنی باید پول بدی بگیری بعد نگاه به قیمتش کردم دیدم زده ۱۹0هزار تومن که اگه این کار و اون کارو بکنی یه مشت شرط و شروط گذاشته بود که اگر انجام بدی تخفیف ۵۰ هزار تومنی میگیری الان میخواستم بدونم این کار یعنی او اسکریپت رو از کجا به دست اوردن ایا اونا از کد جاوااسکریپت استفاده کرده بوده و اگر این کارو کرده این اموزشش کجا ها هست من خیلی دوست داشتم این اموزش یاد بگیرم
لطفا اگر این پیام منو دیدید به من به طور کامل جواب بدید به سوالم چون الان اونقدر گشتم و به جایی نرسیدم که دیگه واقعا خیلی اصبانی شدم لطفا به من در این سوال راهنمایی بفرمایید ممنون میشم جوابمو بدید
reza –
سلام دوره وب هکینگ کی میزارید ؟
مهدی حسنی –
سلام انشالا سال بعد
زمان مشخص نیست دقیق
farhad –
سلام لطفا نحوه عضویت توی سایت پن تست اکادمی و رفتن به لینک چلنج هایی که انجام دادید رو بگید …اصلا نمیتونیم این چلنج ها رو پیدا کنیم و باشون تمرین کنیم
Mehrshad Mohammadi –
عرض ادب و احترام خدمت شما دوست عزیز :
لینک آزمایشگاه در URL کامل مشخص است اگر دقت کنید…
لینک آزامایشگاه : http://pentesteracademylab.appspot.com/lab/webapp/jfp/1
برای رفتن به قسمت های بعد -> کافیه عدد 1 در انتهای URL را عوض کنید … مثال :
http://pentesteracademylab.appspot.com/lab/webapp/jfp/2
http://pentesteracademylab.appspot.com/lab/webapp/jfp/3
http://pentesteracademylab.appspot.com/lab/webapp/jfp/4
…
فرهاد –
403. That’s an error.
Your client does not have permission to get URL
/lab/webapp/jfp/1from this server. That’s all we know.با این خطا مواجه میشیم وقتی میخواایم لینک هارو باز کنیم….تاریخچه مرور گر و هم پاک میکنیم بازم همونظوری میشه…….شماهم با این خطا روبه رو میشید؟راه حلی داره؟ هم توی موزیلا و هم توی کروم
مهدی حسنی –
سلام ای پی ایران تحریمه با vpn تشریف ببرید
علی –
ممنون از این دورتون استاد خیلی خوب توضیح داده بودید
Mehrshad Mohammadi –
سلام و عرض ادب خدمت شما.
ممنون از نظر شما …
منتظر اپديت باشيد !
مهدی –
سلام استاد بعد از دیدن این دوره چقدر به xss تسلط پیدا میکنیم؟
Mehrshad Mohammadi –
عرض ادب و احترام خدمت شما.
شما بعد مشاهده اين دوره تا سطح متوسط رو به بالا با xss اشنا ميشويد…
و حتي منابعي رو هم معرفي كرديم براي سطح بالاتر ياد گرفتند…
اما احتمال زياد اين دوره ابديت ميشه تا سطح پيشرفته اما خوب يك سري مشكلات وجود داره از جمله
– يك سري محدويت ها
-كار با ابزار burp suite
اگر استقبال از اين دوره افزايش پيدا كند ابديت ميكنيم دوره رو تا سطح پيشرفته..
boombeachgame16 –
سلام کل ویدیو ها برای من ۱۳ تا هستن در صورتی که نوشتید ۱۶ تا
ضمنا اپدیت دوره هم موجود نبود در بین فایل ها
مهدی حسنی –
سلام مهندس ، اپدیت هنوز اضافه نشده و با اپدیت 16 مورد هست یا بیشتر که ظرف 10 یا 12 روز اماده میشه
نوار دوره هم دقت کرده باشید نوشته 85 درصد دوره فعلا تکمل شده