يستغل المهاجم ثغرات في المدخلات لإدخال أكواد جافا سكريبت خبيثة في صفحات ويب، مما يمكنه من سرقة بيانات المستخدمين: a) حقن استعلامات (SQLI (SQL b) Memory Injection c) البرمجة عبر المواقع (XSS) ؟؟
الإجابة الصحيحة من خلال موقع بوابة الإجابات هي:
c) البرمجة عبر المواقع (XSS)
الإجابة الصحيحة هي c) البرمجة عبر المواقع (XSS - Cross-Site Scripting).
شرح الثغرة (XSS):
تحدث هذه الثغرة عندما يسمح موقع الويب للمستخدمين بإدخال بيانات (مثل كتابة تعليق أو اسم مستخدم) دون التأكد من أن هذه البيانات مجرد "نصوص عادية". يستغل المهاجم هذا الخطأ ليضع بدلاً من النص "أكواد برمجية"، وغالباً ما تكون بلغة JavaScript.
كيف تتم عملية الهجوم؟
- مرحلة الحقن: يذهب المهاجم إلى خانة إدخال في الموقع (مثل صندوق التعليقات أو شريط البحث) ويكتب كوداً خبيثاً بدلاً من الكلام العادي.
- مرحلة التخزين/العرض: يقوم الموقع بحفظ هذا الكود أو عرضه في الصفحة كما هو.
- مرحلة التنفيذ: عندما يزور مستخدم آخر هذه الصفحة، يعتقد متصفحه (مثل Chrome أو Firefox) أن هذا الكود هو جزء شرعي من الموقع، فيقوم بتنفيذه فوراً.
أهداف المهاجم من XSS:- سرقة ملفات تعريف الارتباط (Cookies): وهي الملفات التي تحفظ معلومات تسجيل دخولك، مما يسمح للمهاجم بفتح حسابك دون الحاجة لاسم مستخدم أو كلمة مرور.
- سرقة البيانات الحساسة: مثل المعلومات التي يكتبها المستخدم في النماذج.
- تغيير شكل الموقع: لإظهار رسائل مزيفة أو توجيه المستخدم لمواقع أخرى ضارة.
لماذا الخيارات الأخرى غير صحيحة؟- أ) حقن استعلامات (SQL Injection - SQLI): هذا الهجوم يستهدف قاعدة البيانات (Database) مباشرة عبر إرسال أوامر برمجية بلغة SQL، والهدف منه هو الوصول لبيانات مخزنة (مثل كلمات المرور) وليس استهداف متصفح المستخدم عبر JavaScript.
- ب) حقن الذاكرة (Memory Injection): هذا الهجوم يستهدف ذاكرة الوصول العشوائي (RAM) الخاصة بجهاز الكمبيوتر أو نظام التشغيل نفسه، وهو نوع مختلف تماماً عن هجمات تطبيقات الويب.
اذا كان لديك إجابة افضل او هناك خطأ في الإجابة علي سؤال يستغل المهاجم ثغرات في المدخلات لإدخال أكواد جافا سكريبت خبيثة في صفحات ويب، مما يمكنه من سرقة بيانات المستخدمين: a) حقن استعلامات (SQLI (SQL b) Memory Injection c) البرمجة عبر المواقع (XSS) ؟ اترك تعليق فورآ.
