41 lines
2.8 KiB
Markdown
41 lines
2.8 KiB
Markdown
---
|
|
title: XSS Cross Site Scripting
|
|
localeTitle: XSS عبر برمجة الموقع
|
|
---
|
|
## XSS عبر برمجة الموقع
|
|
|
|
يعد البرمجة عبر الموقع (XSS) نوعًا من أنواع حقن الكود. وهو أحد أكثر نقاط الضعف شيوعًا على الويب.
|
|
|
|
عادةً ما ينطوي XSS على إدخال رمز في نموذج أو معلمة url أو أي مكان آخر يقبل إدخال المستخدم الذي يتم عرضه للمستخدمين. على سبيل المثال ، تخيل موقع ويب أظهر ملف تعريف المستخدم الخاص بك ، وقمت بإدخال `<script>alert("HELLO!");</script>` كاسم المستخدم الخاص بك. إذا لم يمنع الموقع XSS ، فسيحصل كل شخص زار ملفك الشخصي على نافذة تنبيه منبثقة.
|
|
|
|
#### أنواع مختلفة من XSS
|
|
|
|
هناك 3 أنواع مختلفة من XSS.
|
|
|
|
* مخزنة XSS
|
|
* عاكس XSS
|
|
* DOM Based XSS
|
|
|
|
#### مخاطر XSS
|
|
|
|
بالطبع ، لا يقدم المثال أعلاه أي خطر مباشر على الأشخاص الذين يشاهدون ملفك الشخصي. ولكن ، ماذا لو كان لديك نوايا أكثر شرا؟ يمكنك تنفيذ بعض javascript لإظهار صفحة تسجيل دخول مزيفة ، وجمع أسماء المستخدمين وكلمات المرور للمستخدمين الآخرين للموقع ، أو ببساطة قراءة ملف تعريف ارتباط الجلسة إذا لم يكن آمنًا. يمكنك إجبارهم على زيارة مواقع ويب أخرى أو تنفيذ إجراء.
|
|
|
|
#### الدفاع ضد XSS
|
|
|
|
* لا تثق أبدًا ببيانات المستخدم
|
|
* التحقق من صحة البيانات غير الموثوقة (التحقق من وجود بيانات صالحة ، أو رفضها ، بدلاً من معالجتها)
|
|
* قيم آمنة في القائمة البيضاء (بدلاً من القائمة السوداء)
|
|
* قم دائمًا بتشفير الإخراج
|
|
* ترميز للسياق الصحيح (تختلف سمات HTML / HTML / CSS / JSS)
|
|
* حماية ملفات تعريف الارتباط (يمكن قراءة HTTP فقط وآمن فقط من قبل الخادم)
|
|
* تطبيق سياسة أمن المحتوى
|
|
|
|
#### معلومات اكثر:
|
|
|
|
اقرأ المزيد من المعلومات عن XSS والخطوات التي يمكنك اتخاذها للحماية من:
|
|
|
|
[برمجة عبر المواقع (XSS)](https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) )
|
|
|
|
[OWASP XSS (البرمجة عبر الموقع) منع ورقة الغش](https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)
|
|
|
|
[Hacksplaining XSS الدرس](https://www.hacksplaining.com/exercises/xss-stored) |