امروزه متاسفانه با اشتباه بسیاری از برنامه نویسان سمت وب حفره های امنیتی
زیادی رو یک وب سایت به وجود می آیند که متاسفانه یکی از شایع ترین (باگ) حفره امنیتی Cross Site Script که برای اینکه با CSS اشتباه گرفته نشود به آن XSS گفته می شود !

ما در این دوره آموزشی تمامی سعی خود را کرده ایم
که یک پشتیبانی خوبی از تمامی برنامه نویسان و مدیران وب کرده تا بتوانند اگر داشتن این حفره خطرناگ بی خبر هستند آن را شناسایی و کاملا رفع کنند، در ادامه نگاهی داشته باشیم به برنامه نویسی جاوا اسکریپت و حفره امنیتی XSS و..

زبان برنامه نویسی جاوا اسکریپت چیست ؟

جاوا اسکریپت (به انگلیسی: JavaScript‎) با کوته‌نوشت JS نوعی زبان برنامه‌ نویسی است
که با ویژگی‌های ارائه شده در مشخصات اکما اسکریپت مطابق می‌باشد. جاوا اسکریپت نوعی زبان سطح بالا، کامپایل درجا، و چندالگویی است. جاوا اسکریپت نحو آکولادی دارد، نوع دهی آن پویا است، نوع شیء گرایی اش بر پایه پیش‌نمونه است، و دارای توابع کلاس اول می‌باشد. در کنار HTML و CSS، جاوا اسکریپت یکی از فناوری‌ های هسته‌ای وب جهان‌گستر است.

علیرغم اشتباه عمومی زبان جاوا اسکریپت با زبان جاوا ارتباطی ندارد !
دلیل این نام گذاری محبوبیت زبان جاوا در هنگام تولد جاوا اسکریپت بود اگر چه ساختار این زبان به سی پلاس پلاس (++C) و جاوا شباهت دارد که این امر برای یادگیری آسان در نظر گرفته شده‌است. از همین رو دستورهای متداول مانند if, for, try..catch ,”while” و… در این زبان هم یافت می‌گردند. این زبان می‌تواند هم به صورت ساخت یافته و هم به صورت شی گرا مورد استفاده قرار گیرد.

در مورد زبان برنامه نویسی (Java Script) بیشتر بدانید !

در این زبان اشیاء با اضافه شدن متدها و خصوصیات پویا به اشیاء خالی ساخته می‌شوند !
بر خلاف جاوا بعد از ساخته شدن یک شی به روش فوق، این شی می‌تواند به عنوان نمونه‌ای برای ساخته شدن اشیاء مشابه مورد استفاده قرار گیرد. به علت این قابلیت زبان جاوا اسکریپت برای ساختن نمونه از سیستم، مناسب است. جاوا اسکریپت (قالب پرونده) پسوند های نام پرونده JS نوع رسانهٔ اینترنتی (obsolete) شناسانه نوع یکسان گونه زبان اجرانامه‌ نویسیکاربرد گسترده این زبان در سایت‌ها و صفحات اینترنتی بوده و به کمک این زبان می‌توان به اشیاء داخل صفحات HTML دسترسی پیدا کرد و آن‌ها را تغییر داد. به همین علت برای پویانمایی در سمت کاربر، از این زبان استفاده می‌شود.

کاربرد زبان برنامه نویسی جاوا اسکریپت در هک و امنیت چیست ؟

جاوا اسکریپت مکمل زبان PHP هست بنابراین آن به بهترین زبان برنامه نویسی برای هک کردن برنامه های تحت وب تبدیل شده است. متخصصان امنیتی غالباً از روش هکرهای کلاه سیاه برای نوشتن اسکریپت های متقابل در جاوا اسکریپت تقلید می کنند و به یک زبان خوب برای هک کردن برنامه های وب پیچیده تبدیل شده است.

• یکی از زبان های مهم برای ساخت اسکریپت XSS
• جاوا اسکریپت می تواند DOM مرورگر را بسیار آسان دستکاری کند ، بنابراین آن را به یک راه حل مناسب برای ساخت کرم های اینترنتی تبدیل می کند.
• این می تواند برای تقلید از حملات نه تنها در سمت سرور بلکه در سمت کلاینت نیز مورد استفاده قرار گیرد
• جاوا اسکریپت یک زبان واضح برای ایجاد برنامه های هک تبلیغاتی مزاحم است که در زمان های اخیر به طور فزاینده ای افزایش می یابد !

حفره امنیتی XSS چیست ؟

XSS مخفف Cross Site Scripting هست اما بدلیل اشتباه نگرفته شدن با CSS اون را XSS میخوانند.

• نوعی آسیب پذیری امنیتی رایانه است که معمولاً در برنامه های وب مشاهده می شود.
  حملات XSS به مهاجمان امکان می دهد اسکریپت های سمت کلاینت را به صفحات وب که توسط سایر کاربران مشاهده می شود ، تزریق کنند. یک آسیب پذیری اسکریپت در سطح سایت ممکن است توسط هکرها برای دور زدن کنترل های دسترسی مانند پالاسی ها  استفاده شود. XSS در وب سایت ها ، تقریباً 84٪ از کلیه آسیب پذیری های امنیتی ثبت شده توسط Symantec تا سال 2007 را به خود اختصاص داده است.

• در سال 2017، حملات XSS هنوز یک بردار اصلی تهدید در نظر گرفته  میشد .اثرات XSS بسته به حساسیت اطلاعات داده شده توسط سایت آسیب پذیر و ماهیت هرگونه کاهش امنیتی که توسط شبکه مالک سایت انجام می شود ، در محدوده مختلف از ناراحتی های کوچک تا ریسک امنیتی قابل توجه است.

• مهاجم با استفاده از XSS جهت ارسال اسکریپت های مخرب به قربانی بهره می برد !
  مرورگر کاربر نهایی، هیچ راهی برای تشخیص نامطمئن بودن اسکریپت نداشته و آن را اجرا خواهد نمود.
  به دلیل اینکه مرورگر فرض را بر این می گذارد که اسکریپت ها از منبع مورد اعتماد می آیند و به اسکریپت مخرب اجازه ی دسترسی به تمام داده هایی که دسترسی به آن توسط مرورگر برای یک سایت امکان پذیر است را می دهد. این اطلعات حساس شامل کوکی ها، token های مربوط به یک نشست یا Session و.. می شوند. به وسیله ی این اسکریپت ها حتی می توان محتوای یک صفحه ی HTML را دوباره نوشت !