ملاحظة تمت اظافة الاشياء بشكل مختصر
الكثير من الهاكرز عنددما يكتشفون ثغرة xss في احد المواقع لا يعرفون كيفية استخدامها بالشكل الصحيح لذلك أليك 20 شيئا يمكنك القيام به باستخدام xss
ثغرة xss ليست ضعيفة من جانب العميل
تمتاز هذه الثغرة بخطورة كبيرة حينما يستطيع الهاكر حقن الاكواد في الموقع ودمجها مع روابط الصفحات.
تحتاج فقط الى أظهار الربع الحواري في الموقع.
كل ما هو مهم في هذه الثغرة هو أظهار المربع المنبثق في الموقع المستخدم, هذا دليل على ان الموقع متواجد فيه الثغرة.
انتحال شخصية المستخدم
يمكنك حرفياً انتحال شخصية المستخدم وذلك يتم من خلال سرقة جلسة المستخدم.
الربح من موقع الضحية
اذا استطعت أن تخزن المعلومات في الموقع باستخدام ثغرة XSS فيمكنك حقن الموقع باكوادك الأعلانية لتربح منها.
أخفاء العناصر
يمكنك زرع أكواد وعناصر خفية داخل الصفحة لأغراض النقر الغير الشرعية.
Session Hijacking
يمكنك الوصول الى الكوكيز الخاص بالمستخدم من خلال أكواد JAVASCRIPT .
عرض وأخفاء عناصر الصفحة
JAVASVRIPT لديها الامكانية للتحكم الكامل من جهة العميل وبالتالي يمكنه عرض و أخفاء العناصر.
اختراق ال wifi
الجزء الأكثر متعة , يمكنك أظهار نوافذ منبثقة على الاجهزة المتصلة على الشبكة وطلب منهم أدخال بيانات ال wifi .
التنزيلات الأجبارية
- اذا الضحية لا يقوم بتحميل برنامج معين من موقعك , فمع جافاسكريت سيكون لديك المزيد من الحظ لمحاولة فرض تحميل البرنامج من الموقع الذي يزوره الضحية.
تعدين البتكوين
- نعم يمكنك أستخدام أجهزة الزوار لتعدين البتكوين.
Bypassing CSRF protection
يمكنك أرسال طلبات post من خلال javascript ويمكنك دمج CSRF token مع javascript لتمرير البيانات وسرقة جلسات الضحية.
Keylogging
أنت تعرف هذا مسبقاً.
Recording Audio
تسجيل الصوت عبر المتصفح, ولكن هذه الميزة تطلب الأذن من المستخدم, شكراً لكل من javascript and html5.
Taking pictures
التقاط الصور, ايضاً تطلب الأذن من المستخدم لدخول كاميرا الويب.
الموقع الجغرافي
- يتطلب إذنًا من المستخدم و يمكنك الوصول إلى الموقع الجغرافي للضحية. بفضل HTML5 وجافا سكريبت. يعمل بشكل أفضل مع الأجهزة بنظام GPS.
Network Scanning
يمكنك استغلال متصفح الضحية لفحص المنافذ والبورتات.
Crashing Browsers
اغلاق المتصفحات , نعم يمكنك ايقاف متصفح الضحية باغراقه باشياء.
Redirecting
يمكنك أرسال وأعادة توجيه الضحية لصفحة ويب من اختيارك.
Capture Capture
بفضل HTML5 ، يمكنك الآن التقاط لقطة شاشة لصفحة ويب.
Stealing Information
جمع المعلومات عن صفحة الويب الخاصة بالضحية وارسالها الى السيرفر الخاص بك.
تمت الترجمة والتعديل من قبل فريق CanPost
ليست هناك تعليقات:
إرسال تعليق