السلام عليكم
ثغرات XSS منتشرة بشكل فظيع وخطورتها تعتمد على نوعيتها بمعنى لو كانت GET أخطر من كونها POST والحالة الأولى ممكن تكون مدموجة بموضوع وممكن تكون عن طريق رابط يتم الطلب من الادمن الضغط عليه
المهم أنا فكرت بعدة طرق بحيث تحمي منتداك مهما اكتشفو ثغرات XSS فيها وباعطيكم بعض الطرق اللي توصلت لها:
1- بما أن استغلال XSS يعتمد على سرقة الكوكي من الأدمن اللي يحتوي على اليوزر والباسورد طيب فكرت ايش المانع أدخل بدون كوكي ؟ بتقولي كيف ؟ بقولك لما تدخل اليوزر والباسورد عشان تدخل المنتدى شيل الصح من مربع تذكرني دائما
المهم حاولت أطبق الطريقة بهذا المنتدى وللأسف كل مرة يرجع يطلب مني اليوزر والباسورد وماعرف السبب بالضبط
بس لما جربتها بمنتدى من نوع PhpBB قدرت ادخل وفتحت الكوكي ومالقيت فيه اليوزر والباسورد بس لقيت Session ID
يعني لو وقعت في فخ ثغرة XSS بيوصل للهكر بس SessionID
طيب هل بيقدر يخترقك ؟
الجواب نعم ولكن بشرط انه يدخل بنفس الوقت اللي قاعد انت تتصفح فيه المنتدى
طيب ايش الفرق بين هذي الطريقة ولما اقوله تذكرني دائما ؟
انه لما تقول تذكرني دائما بيوصله اليوزر والهاش تبع الباسورد بمعنى مو شرط تكون انت جالس تتصفح المنتدى عشان يدخل معك بنفس اللحظة
2- في رقم 1 حاولت تقليل احتمال نسبة اختراق المنتدى ولكن الطريقة ماتصلح بهذا المنتدى مثلا فقلت نمنعه من كتابة سكربتات الجافا اللي تعتبر استغلال لXSS
بتقولي كيف ؟
بقولك في خاصية بلوحة التحكم تجدها في أغلب المنتديات وهي word filters بمعنى انك تمنع ظهور كلمات معينة في أي موضوع يتم كتبابته ومثلا تمنع Java أو script بحيث لما واحد يكتب هالكلمة يتم تبديلها إلى نجوم أو شي ثاني وبالتالي لايعمل الجافا وهذي الطريقة جربتها بمنتداي التجريبي ونجحت وفعلا كان يمنع من كتابة الكلمات بمعنى ماراح يستطيع الهكر تطبيق الثغرة
بس عشان تتأكد أن هذي الطريقة كافية لحماية منتداك تماما من ثغرات XSS لازم تتأكد من منع كل الصيغ والاحتمالات اللي يتم فيها استغلال ثغرات XSS وانا اتوقع ان كلمة Java أو Script تكفي
3- هدف الهكر من استغلال هذه الثغرة هو الكوكي تبع الأدمن فقط
طيب انا ممكن انشئ عضو وحتى ممكن احط عليه لقب مراقب عام بس أجعل صلاحياته يوزر عادي زي أي واحد ثاني ويصير هو النك اللي اكتب فيه واشارك فيه واقرا المواضيع فيه وبهذه الطريقة أتجول بالمنتدى بكل حرية ولا اشيل هم لو الهكر حاطلي استغلال باحد المواضيع أو لا لأنه لو سرق الكوكي ماراح يستفيد لأني يوزر عادي
أما بالنسبة للأدمن فأجعله للاشراف فقط
4- الطريقة الثانية لاستغلال ثغرات XSS هي ان الهكر يرسل للادمن رسالة خاصة أو يكتب موضوع ويستخدم فيه الهندسة الاجتماعية بمعنى يرسل رسالة للادمن ويقول ياليت تحذف هذا الموضوع لأنه كذا وكذا ويحط الرابط طبعا المشكلة ان الادمن بيشوف بداية الرابط هو اسم موقعه ويتطمن ويضغط عليه وهنا الخطأ
ياأدمن لاتضغط على أي رابط مهما كان حتى لو كان مبين وصلة انها داخل المنتدى
مجرد اضغط عليه بالزر اليمين واختر خصائص وشوف الوصلة زين وتابعها إلى آخرها وإذا لقيت رابط موقع ثاني اعرف انه رابط اللوق تبع الهكر واعرف انه حاول يخدعك فتصرف معاه
أما لو كان الرابط سليم ولا فيه رابط فرعي فاضغط عليه
هذي بعض الطرق اللي فكرت فيها للتخلص من ثغرات XSS نهائيا مهما اكتشفوا ثغرات جديدة XSS ماراح تفرق معاك وسيضل منتداك غير قابل للاختراق عن طريقها وأتمنى لو الاعضاء عندهم إضافات أو اقتراحات وتعديلات وتصحيحيات مايبخلون علينا فيها