يستغل المهاجم ثغرات في المدخلات لإدخال أكواد جافا سكريبت خبيثة في صفحات ويب، مما يمكنه من سرقة بيانات المستخدمين: ؟؟
الإجابة الصحيحة من خلال موقع بوابة الإجابات هي:
c) البرمجة عبر المواقع (XSS)
تُعرف هذه العملية بـ البرمجة عبر المواقع (Cross-Site Scripting - XSS)، وهي نوع من الهجمات الإلكترونية التي تستهدف تطبيقات الويب من خلال استغلال عدم قدرة الموقع على فحص وتصفية البيانات التي يدخلها المستخدمون بشكل صحيح.
كيف تعمل هذه الثغرة؟
تحدث هذه العملية من خلال الخطوات التالية:
- إيجاد مدخلات غير محمية: يبحث المهاجم عن أي مكان في الموقع يسمح للمستخدم بكتابة نصوص، مثل (صندوق التعليقات، خانة البحث، أو نماذج تسجيل البيانات).
- حقن الكود (Injection): بدلاً من كتابة نص عادي (مثل: "مرحباً")، يقوم المهاجم بكتابة كود برمجي بلغة "جافا سكريبت" (JavaScript) داخل هذه الخانات.
- تخزين أو تمرير الكود: يقوم الموقع (بسبب وجود الثغرة) باستقبال هذا الكود والتعامل معه كأنه نص عادي، ثم يقوم بعرضه داخل صفحات الموقع.
- التنفيذ التلقائي: عندما يزور مستخدم آخر الصفحة التي تحتوي على هذا الكود، يعتقد متصفح المستخدم أن هذا الكود هو جزء أصلي من الموقع، فيقوم بتشغيله فوراً.
مثال توضيحي بسيط:تخيل وجود موقع يحتوي على "قسم للتعليقات":
- المستخدم الطبيعي: يكتب تعليقاً يقول: "مقال رائع!".
- المهاجم: يكتب كوداً برمجياً بدلاً من التعليق، مثل: `alert('تم اختراق بياناتك');`.
- النتيجة: بمجرد أن يفتح أي مستخدم آخر الصفحة لقراءة التعليقات، سيظهر له تنبيه (أو يتم تنفيذ أمر خفي) يقوم بسرقة ملفات تعريف الارتباط (Cookies) الخاصة به، وهي الملفات التي تُستخدم لإبقائه مسجلاً دخوله في الموقع.
ما هي أضرار هجوم XSS؟يستخدم المهاجمون هذا الهجوم لتحقيق عدة أهداف خبيثة، منها:
- سرقة الجلسات (Session Hijacking): الحصول على ملفات تعريف الارتباط لسرقة حساب المستخدم.
- سرقة البيانات الحساسة: مثل كلمات المرور أو معلومات البطاقات الائتمانية.
- تغيير شكل الموقع: إظهار رسائل مزيفة أو إعادة توجيه المستخدم إلى مواقع ضارة.
اذا كان لديك إجابة افضل او هناك خطأ في الإجابة علي سؤال يستغل المهاجم ثغرات في المدخلات لإدخال أكواد جافا سكريبت خبيثة في صفحات ويب، مما يمكنه من سرقة بيانات المستخدمين: ؟ اترك تعليق فورآ.
