شرح طريقة اكتشاف ثغرة Reflected XSS في موقع infosecinstitute.com ماهي ثغرة Cross-site Scripting (XSS) - Reflected ؟ تحدث ثغرة XSS عندما يسمح موقع الويب بتنفيذ اكواد جافاسكربت في متصفح المستخدم الذي يزور الموقع , لذالك يقوم المهاجم باستغلال هاذا الخطأ لتنفيذ اكواد خبيثة في متصفح الضحية وسرقة ملفات Cookies وغيرها من البيانات ... خطوات اكتشاف ثغرة Reflected XSS في موقع infosecinstitute.com : 1. نقوم بفتح الرابط التالي : كود: https://resources.infosecinstitute.com/?q=TestXSS</SCRIPT><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT> 2. سيتم تنفيذ السكربت في الموقع المصاب خطر الثغرة : يستطيع المهاجم استغلال الثغرة وسرقة ملفات cookies من الضحية والاستيلاء على الحساب , وتنفيذ اكواد جافاسكربت للتجسس على الضحية مثل keylogger, وتغيير شكل الصفحة والتعديل عليها واضافة صور وفيديو ويمكن تحويل الضحية الى مواقع اخرى ... كيف يتم اصلاح الثغرة : نقوم باستخدام Content Security Policy (CSP) لمنع تنفيذ اي سكربت ضار المراجع : https://portswigger.net/web-security/cross-site-scripting
