تذكرنــي
التسجيل التعليمات التقويم البحث مشاركات اليوم اجعل كافة الأقسام مقروءة



::. قسم إختراق المواقع والمنتديات .:: شروحات إختراق المواقع والسيرفرات والمنتديات وأجدد أدوات إختراق المواقع وأجدد الثغرات

اضافة رد

 
أدوات الموضوع انواع عرض الموضوع

رقم المشاركة : ( 1 )
الصورة الرمزية zero_cool
zero_cool
مشرف
zero_cool متواجد حالياً
 
رقم العضوية : 17240
تاريخ التسجيل : Jan 2011
مكان الإقامة :
عدد المشاركات : 679
عدد النقاط : 10
قوة التقييم :
افتراضي شرح استغلال ثغرة ajax xss

كُتب : [ 11-21-2017 - 10:12 PM ]


السلام عليكم ورحمة الله وبركاته
ان شاء الله تكونوا في تمام الصحة والعافية


سنقوم في هذا الشرح بتنفيذ ثغرة XSS إزاء كائن AJAX JSON
ومعروف على JSON أنها لاترحم مع الأخطاء لكننا سنستغل هذه الأخطاء لصالحنا.

سنطبق على Multilidae
نفتح Multilidae ونذهب إلى OWASP 2013 ثم (A1 injection (SQL ثم
( Via ********** Object Notation (JSON ثم (Pentest Tool Lookup (AJAX



افتح ال burp وخليه intercept on وختار tool معين واضغط Tool Lookup

حاول اضهار خطأ باضافة الرمز " إلى رقم ID ال tool كالتالي:



نضغط forward ونرجع للمتصفح سيظهر خطأ كالتالي:



في الخطوة التالية نظيف "{" كالتالي:



نضغط forward ونرجع للمتصفح سيظهر خطأ كالتالي:



في الخطوة التالية نظيف "{" كالتالي:



نضغط forward ونرجع للمتصفح سيظهر خطأ كالتالي:



نظيف "(" كالتالي:



نضغط forward ونرجع للمتصفح سيظهر خطأ كالتالي:



نظيف ";" كالتالي:



نضغط forward ونرجع للمتصفح سيظهر خطأ كالتالي:



تحصلنا على نفس خطأ المرة السابقة لذلك فلنظيف "//" كالتالي:



نضغط forward ونرجع للمتصفح ونشوف أنه لم يظهر لنا خطا كالتالي:



الان نقوم بحقن ال ********** alert كالتالي:



نضغط forward ونرجع للمتصفح ونشوف أنه نجحنا في اضهار ال alert كالتالي:



بالتوفيق

توقيع : zero_cool

‏مشكلة الناس في مجال ال Cyber Security انها تتطبق دائما قبل أن تتعلم ف 100% ستفشل في التطبيق ولاتستطيع التقدم.
فاول خطوة لكي تكون جيد يجب ان تتعلم.

[email protected]

رد مع إقتباس
بياناتي
 رقم المشاركة : ( 2 )
ElSyad
المشرف العام
رقم العضوية : 33419
تاريخ التسجيل : Nov 2012
مكان الإقامة :
عدد المشاركات : 260
عدد النقاط : 10

ElSyad غير متواجد حالياً

افتراضي

كُتب : [ 11-21-2017 - 10:40 PM ]


تسلم ايديك يا معلم
مع ان xss بقت المركز السابع حاليا


توقيع : ElSyad

The Best Revenge Ever Is Success
مدونتي
http://www.arab-blog.net/
الصياد /.

رد مع إقتباس

اضافة رد

العلامات المرجعية

الكلمات الدلالية (Tags)
ajax, استغلال, ثغرة, شرح, xss


يتصفح الموضوع حالياً : 1 (0 قرصان و 1 ضيف)
 
أدوات الموضوع
انواع عرض الموضوع

ضوابط المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا يمكنك اضافة مرفقات
لا يمكنك تعديل مشاركاتك

BB code متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
شرح استغلال ثغرة القلب النازف heartbleed كلااااش ::. قسم إختراق المواقع والمنتديات .:: 3 06-14-2015 10:49 AM
تأمين تطبيقات لغة البرمجة php من الإختراق (1) قراصنة غزة ::. قسم حمايه المواقع والسيرفرات.:: 5 03-02-2015 03:24 AM
دورة احتراف استغلال جميع انواع الثغرات و قراءة الثغرات المكتوبة Mr.isdo .:: قسم الثغرات ::. 3 12-14-2013 05:14 PM
[بالصور] أكبر شرح للـ Metasploit و شرح استغلال ثغراته بالتفصيل ahmed_sindbad ::. قسم مشروع الباك تراك backtrack , الميتاسبلويت MetaSploit .:: 22 08-07-2013 04:25 PM
استخدام مشروع Metasploit و شرح استغلال ثغراته بالتفصيل ahmed radwan ::. قسم إختراق المواقع والمنتديات .:: 20 11-20-2010 11:02 PM


جميع الأوقات بتوقيت GMT +2. الساعة الآن 07:42 PM.



أقسام المنتدى

الأقسام الإسلامية @ .:: القسم الإسلامي العام ::. @ .:: قسم القرآن الكريم وتجويده ::. @ .:: قسم الاناشيد والشريط الاسلامي ::. @ .:: سيرة و قصص الأنبياء و الصحابة ::. @ الأقسام العامة @ .:: قسم الساحة العامة ::. @ .:: قسم فـلـسـطــيــن ::. @ .:: قسم للتوعية الأمنية ::. @ .:: عالم البرامج الكاملة والنادرة ::. @ .:: قسم أخبار التقنية المعلوماتية والتكنولوجية ::. @ .:: قسم عالم المحادثة ::. @ .:: قسم الأمن و الحماية | Security ::. @ ::. قسم حماية الاجهزة والايميلات .:: @ ::. قسم حمايه المواقع والسيرفرات.:: @ ::. قسم إختراق المواقع والأجهزة والبريد الإلكتروني | Hacker .:: @ ::. قسم إختراق المواقع والمنتديات .:: @ ::.قسم إختراق الأجهزه والبريد الاكتروني .:: @ .:: قسم الثغرات ::. @ .:: الركن الترفيهي ::. @ .:: قسم الصور ::. @ .:: ركن الأدارية ::. @ .:: قسم الشكاوي ولأقتراحات ::. @ خاص بشروحات الفيديو @ الأدوات , hack tools @ .:: قسم مساعدة الاعضاء ::. @ :: المواضيع المحذوفة :: @ قسم الانجازات @ .:: جديد قراصنة غزة ::. @ :: قسم استراحة الأعضاء :: @ :: YouTube :: @ .:: القسم التقني ::. @ :: عالمـ الكومبيوتر :: @ :: قسم الجوالات والاتصالات :: @ :: قسم التصميم والغرافيك :: @ خاص للادارة والمشرفين @ :: قسم خاص بالمبتدئين :: @ :: خاص بثغرات المتصفح :: @ :: خاص بشروحات الفيديو :: @ .:: الدورات المقدمة من المشرفين ::. @ :: مشآكل الكومبيوتر وحلولها :: @ .:: للنقاش الجاد ::. @ الملتقى الأدبي .. @ :: طلبات الإشراف :: @ :: كتب الحماية والاختراق security&hacking :: @ البحوث العلمية @ تعليم اللغات الأجنبية @ .:: كتب الكترونية منوعة ::. @ .:: القسم الدعوي ::. @ قسم الكتب الاسلامية @ قسم المواضيع المميزة @ :: قسم خاص بالتشفير :: @ قسم اخبار العالم وقضايا الأمة الإسلامية @ Local root @ دورة إحترآف إلـ Spam Email @ فلسطين , palestine @ .:: مدن وقرى فلسطين ::. @ .:: تاريخ فلسطين ::. @ .:: شهداء فلسطين ::. @ .:: مدينة القدس ::. @ .:: مدينة غزة ::. @ .:: لعروض التصاميم ::. @ .:: لدروس التصاميم ::. @ :: قسم اصدارات وانجازات الفريق :: @ .:: قسم قضية فلسطين ::. @ .:: قسم عروض الاستايلات :.. @ قسم اخبار وقضايا اليهود @ .:: قسم الهاكات وتطوير المنتديات ::. @ ::. قسم المسابقات والنشاطات .:: @ لوحة تحكم سي بانل , cPanel Management @ حماية قواعد البيانات mysql , sql @ لوحة تحكم , Plesk Management @ ادارة سيرفرات Linux @ .:: SQL-injection , حقن قواعد بيانات ::. @ :: قسم خاص بالمبتدئين :: @ .:: قسم الكتب الالكترونية E-BOOK ::. @ .:: قسم تفسير القران الكريم ::. @ قسم الدفاع عن النبي محمد والصحابة وآل البيت @ .:: قسم لغات البرمجة ::. @ قسم برمجة لغة Php , Html @ قسم برمجة لغة mysql , sql @ .:: القسم الرمضانى ::. @ جديد الشيخ نبيل العوضى @ حجب الخدمة , ddos attack @ قسم الاختراق المتقدم @ .:: حماية الاجهزة وطرق كشف التلغيم ::. @ .:: قسم حماية الايميلات :. @ قسم اختراق سيرفرات windows @ .:: دورة قراصنة غزة للتصميم ::. @ .::: أسرى فلسطين ::. @ مدرسة قراصنة غزة لحقن قواعد البيانات @ ::. قسم مشروع الباك تراك backtrack , الميتاسبلويت MetaSploit .:: @ فريق :: Gaza HaCker Injector Team-GHI :: @ دورة أساتذة حقن قواعد البيانات المتقدمة لعام 2017 / 2018 @ GH-InjeCtor-Team @ .:: قسم الصلاة ثم الصلاة ::. @ وَحَرِّضِ الْمُؤْمِنِينَ @ قسم انظمة لينكس Linux, Unix @ قسم الالعاب الالكترونية @ قسم اختراق الشبكات السلكية واللاسلكية @ قسم الميكاترونكس (بناء الروبوتات) @ قسم الدورات المدفوعة @ قسم اختراق الاجهزة اللوحية @ دورات حقن قواعد البيانات للمٌبتدئين من الألف إلى الإحتراف @