بحث متقدم | التسجيل
الويب العربي
  تسجيل دخول
 
   
   

  ملاحظة
الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.




الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.

عـودة للخلف   الويب العربي المركز التعليمي المجاني أمن المعلومات

أمن المعلومات مقالات, أخبار, مواضيع حول أمن المعلومات, وحماية أنظمة التشغيل, الشبكات, المواقع, البيانات السرية.

موضوع مغلق اضف موضوع جديد
 
خيارات الموضوع طريقة العرض
  #1  
قديم 08-07-2010, 03:10 AM
cute.ha3ker cute.ha3ker غير متصل
عضو
 
تاريخ التسجيل: Jun 2010
مشاركة: 5
مستوى تقييم العضوية: 0
cute.ha3ker is on a distinguished road
Question ُثغره xss في موقع الويب العربي

السلام عليكم .

اثناء تصفحي لمنتدى الويب العربي وجدت ثغره من نوع xss و للاسف السكربت مستخدم في عدد من المنتديات العربيه الاخرى

واليكم الدليل على وجود الثغره بالطبع انا لم اقم باستغلال الثغره بأي شكل ضار وهذا مجرد اثبات فقط لا غير علما بانني راسلت احد المشرفين من قبل لكن لم اجد استجابه

كود PHP:
http://www.arabwebtalk.com/redirector.php?url=<script>alert(/xss discovered/)</script> 





  #2  
قديم 09-07-2010, 02:28 AM
الصريح جداً الصريح جداً غير متصل
عضو
 
تاريخ التسجيل: May 2006
المدينة: جـ JeDDaH ـدة
مشاركة: 2,933
مستوى تقييم العضوية: 0
الصريح جداً is on a distinguished road
وسام الويب الذهبي وسام الويب الفضي وسام الويب البرونزي 
عدد الأوسمة: 3 (المزيد ...)
الافتراضي

وعليكم السلام

أهلاً بك يالغالي ...

بصراحه ... هذا خطأ برمجي .. ولكن أقرب أن يكون لاشيئ !

لسببين ...

أولاً ... ثغرة الـ XSS في ملف redirector.php لايمكن استغلالها لسرقة الكوكيز ... عن تجربة شخصية
إذاً فلا فائدة منها في عملية الاختراق .. إذاً أيضاً لم يبقى إلا استغلال آخر لهذا النوع من الثغرات وهو التحويل
ثانياً ..وبما أن الملف وظيفته أصلاً التحويل سواءً كان مصاب بثغرة أم لا ....
فلا فائدة منها ... ولا جديد !

أشكرك على جهدك وحرصك على التنبيه ... وتمنيت لو فتحت موضوع بقسم الاقتراحات والشكاوي


وفقنا الله وإياك ...






التوقيع
كنتُ هنا يوماً ما ...

آخر تعديل بواسطة الصريح جداً ، 09-07-2010 الساعة 02:30 AM.
  #3  
قديم 09-07-2010, 02:46 AM
cute.ha3ker cute.ha3ker غير متصل
عضو
 
تاريخ التسجيل: Jun 2010
مشاركة: 5
مستوى تقييم العضوية: 0
cute.ha3ker is on a distinguished road
الافتراضي عذرا ليست المشكله سرقه الكوكيز

السلام عليكم.

للاسف يخطأ البعض ويظن ان ثغرات ال xss اما ان تستغل لسرقه الكوكيز او للتحويل فقط مع ان هذين الطريقتين هما ابسط الطرق للاستغلال.

فهناك العديد من الطرق الاخرى التي تؤذي المستخدم اكثر من سرقه الكوكيز الخاصه به اذكر منها على سبيل المثال لا الحصر:

يمكن وضع كود استغلال لاحد ثغرات المتصفحات والتي يمكن ببساطه سحبها من الميتاسبلويت.

ايضا يمكن اضافه java applet لتنفيذ كود لدى المستخدم وهذا لا يحتاج لوجود ثغره في المتصفح.

و باستخدام هذه الطريقه يمكن ليس فقط سرقه كلمه السر الخاصه بموقعكم لكن يمكن سرقه ملفات من على جهاز الشخص.

اذا كنت لا تصدق ما اقول يمكنك البحث على الانترنت عن محاضره بعنوان

the internet is broken beyond document.cookie

فقط قم بالبحث على جووجل وستجد طرق اسوأ للاستغلال من مجرد سرقه الكوكيز كما هو واضح من عنوان المحاضره

ملحوظه:هذه المحاضره تم القائها في مؤتمر black hat. يمكنك ايضا تحميل الفيديو من على موقعهم.

ايضا اود الاعتذار عن انني لم اضع الموضوع في قسم الشكاوى و قد حدث ذلك من دون قصد مني.





  #4  
قديم 09-07-2010, 03:02 AM
الصريح جداً الصريح جداً غير متصل
عضو
 
تاريخ التسجيل: May 2006
المدينة: جـ JeDDaH ـدة
مشاركة: 2,933
مستوى تقييم العضوية: 0
الصريح جداً is on a distinguished road
وسام الويب الذهبي وسام الويب الفضي وسام الويب البرونزي 
عدد الأوسمة: 3 (المزيد ...)
الافتراضي

إقتباس:

اقتباس من مشاركة cute.ha3ker   مشاهدة المشاركة

   السلام عليكم.

للاسف يخطأ البعض ويظن ان ثغرات ال xss اما ان تستغل لسرقه الكوكيز او للتحويل فقط مع ان هذين الطريقتين هما ابسط الطرق للاستغلال.

فهناك العديد من الطرق الاخرى التي تؤذي المستخدم اكثر من سرقه الكوكيز الخاصه به اذكر منها على سبيل المثال لا الحصر:

يمكن وضع كود استغلال لاحد ثغرات المتصفحات والتي يمكن ببساطه سحبها من الميتاسبلويت.

ايضا يمكن اضافه java applet لتنفيذ كود لدى المستخدم وهذا لا يحتاج لوجود ثغره في المتصفح.

و باستخدام هذه الطريقه يمكن ليس فقط سرقه كلمه السر الخاصه بموقعكم لكن يمكن سرقه ملفات من على جهاز الشخص.

اذا كنت لا تصدق ما اقول يمكنك البحث على الانترنت عن محاضره بعنوان

the internet is broken beyond document.cookie

فقط قم بالبحث على جووجل وستجد طرق اسوأ للاستغلال من مجرد سرقه الكوكيز كما هو واضح من عنوان المحاضره

ملحوظه:هذه المحاضره تم القائها في مؤتمر black hat. يمكنك ايضا تحميل الفيديو من على موقعهم.

ايضا اود الاعتذار عن انني لم اضع الموضوع في قسم الشكاوى و قد حدث ذلك من دون قصد مني.


وعليكم السلام

أهلاً وسهلاً بك مرة أخرى ...

في الحقيقة قد تحدثت عن هذا الموضوع مسبقاً ...
ولا أقلل من شأن موضوعك أو ما شابه ...
ولكن الأشياء الخطرة اللي تتكلم عنها اذا كانت ثغرة الـ XSS مستهدفة فيها مجموعة زوار بعملية حقن
مخفية أو ما شابه ... اما كسكربت مثل redirector.php فلا داعي لاستغلال شي فيه بديل عنه
فـ جميع ما ذكرت من عمليات حقن وما الى ذلك ... تقدر تسويه عن طريق صفحة html
وملفات الجافا سكربت المساعده .... وتأدي لك الغرض بدون وجود XSS ولكن السؤال
كيف تخلي الزائر يدخلها ؟
في السكربتات خطرها يظهر في الحقن الداخلي بحيث انك تحط موضوع او ما شابه
او توقيع .....الخ من الطرق ... وبالتالي توقع المستخدم في فخك رغماً عنه !

ولكن الآن أخبرني .. مالفرق في استغلالها عن طريق ملف redirector.php
أو انك تسوي لك موقع على الانترنت وتسوي فيه اللي تبغاه بما انك ما تحتاج الكوكيز ؟!
وفي كلا الحالتين راح تضطر انك تحاول تجبر الضحية يفتح رابطك !!!

أنا ما أقلل من شأت ثغرات XSS ولو بحثت في مواضيعي راح تلقى موضوع كامل يتحدث عن هذا
النوع من الثغرات ... ولكن أتحدث عن منطقة الاصابة وشدة خطرها .. لا أكثر ولا أقل

هذا والله اعلم






التوقيع
كنتُ هنا يوماً ما ...
  #5  
قديم 09-07-2010, 04:04 AM
cute.ha3ker cute.ha3ker غير متصل
عضو
 
تاريخ التسجيل: Jun 2010
مشاركة: 5
مستوى تقييم العضوية: 0
cute.ha3ker is on a distinguished road
Wink بالفيديو سرقه الكوكيز من الموقع عن طريق الثغره

اخي الفاضل الثغره يمكن ان تؤدي الى سرقه الكوكيز وليس هناك دليل اكبر على صدق كلامي من هذا التسجيل للاستغلال الثغره بالفيديو

يمكنك تحميل الفيديو من هنا

http://blip.tv/file/get/Fady_moa-ArabWebTalkXss340.ogv

ملحوظه اذا لم يعمل الفيديو استخدم برنامج vlc media player





  #6  
قديم 09-07-2010, 12:38 PM
الصريح جداً الصريح جداً غير متصل
عضو
 
تاريخ التسجيل: May 2006
المدينة: جـ JeDDaH ـدة
مشاركة: 2,933
مستوى تقييم العضوية: 0
الصريح جداً is on a distinguished road
وسام الويب الذهبي وسام الويب الفضي وسام الويب البرونزي 
عدد الأوسمة: 3 (المزيد ...)
الافتراضي

إقتباس:

اقتباس من مشاركة cute.ha3ker   مشاهدة المشاركة

   اخي الفاضل الثغره يمكن ان تؤدي الى سرقه الكوكيز وليس هناك دليل اكبر على صدق كلامي من هذا التسجيل للاستغلال الثغره بالفيديو

يمكنك تحميل الفيديو من هنا

http://blip.tv/file/get/Fady_moa-ArabWebTalkXss340.ogv

ملحوظه اذا لم يعمل الفيديو استخدم برنامج vlc media player


الله يهديك .. تركت كل الصيغ وحفظته بصيغة Ogg
للأسف ما اشتغل معاي المقطع ...

بخصوص موضوع الثغرة ... أنصحك تراسل الادارة بالقسم التالي :
http://helpdesk.arabwebtalk.com/

المقطع اذا فضيت وكان بامكانك ترفعه على اليوتيوب يكون أفضل ..
بالتوفيق






التوقيع
كنتُ هنا يوماً ما ...
  #7  
قديم 09-07-2010, 05:46 PM
cute.ha3ker cute.ha3ker غير متصل
عضو
 
تاريخ التسجيل: Jun 2010
مشاركة: 5
مستوى تقييم العضوية: 0
cute.ha3ker is on a distinguished road
الافتراضي الفيديو بصيغه flv

انا رفعته بهذه الصيغه لاني على جهاز لينزكس وهذه الصيغه يسهل التعامل معها على لينوكس

اليك رابط بصيغه flv

http://blip.tv/file/3857991





  #8  
قديم 09-07-2010, 08:58 PM
الصريح جداً الصريح جداً غير متصل
عضو
 
تاريخ التسجيل: May 2006
المدينة: جـ JeDDaH ـدة
مشاركة: 2,933
مستوى تقييم العضوية: 0
الصريح جداً is on a distinguished road
وسام الويب الذهبي وسام الويب الفضي وسام الويب البرونزي 
عدد الأوسمة: 3 (المزيد ...)
الافتراضي

إقتباس:

اقتباس من مشاركة cute.ha3ker   مشاهدة المشاركة

   انا رفعته بهذه الصيغه لاني على جهاز لينزكس وهذه الصيغه يسهل التعامل معها على لينوكس

اليك رابط بصيغه flv

http://blip.tv/file/3857991


أعتذر اذا أتعبتك في رفع المقطع أو تصويره ... شكراً لك

بخصوص اللي بالمقطع
هذا نفس اللي طلع معاي ... وهذا ماهو كوكيز المنتدى ....
وتقدر تجرب تحقن الكوكيز وتدخل المنتدى

مجرد كوكيز الاعلانات وبعض الأشياء الغير مهمة اللي تجي بأي صفحة انترنت تفتحها
ولكن لو تلاحظ لايوجد أي شي يخص كوكيز الدخول للعضوية بالمنتدى
إذاً نعود مرة أخرى لنقطة أنه لايمكن استغلال الثغرة لسرقة عضوية المنتدى

وفقك الله






التوقيع
كنتُ هنا يوماً ما ...
  #9  
قديم 09-07-2010, 10:16 PM
cute.ha3ker cute.ha3ker غير متصل
عضو
 
تاريخ التسجيل: Jun 2010
مشاركة: 5
مستوى تقييم العضوية: 0
cute.ha3ker is on a distinguished road
الافتراضي

عندك حق اخي الكريم للامانه انا لم اقم بقراءه الكوكيز والتأكد منها وأعتذر على ازعاجك





  #10  
قديم 09-07-2010, 11:09 PM
الصريح جداً الصريح جداً غير متصل
عضو
 
تاريخ التسجيل: May 2006
المدينة: جـ JeDDaH ـدة
مشاركة: 2,933
مستوى تقييم العضوية: 0
الصريح جداً is on a distinguished road
وسام الويب الذهبي وسام الويب الفضي وسام الويب البرونزي 
عدد الأوسمة: 3 (المزيد ...)
الافتراضي

إقتباس:

اقتباس من مشاركة cute.ha3ker   مشاهدة المشاركة

   عندك حق اخي الكريم للامانه انا لم اقم بقراءه الكوكيز والتأكد منها وأعتذر على ازعاجك


أهلاً فيك ..

أبداً لايوجد أي ازعاج .. بالعكس أشكرك على الاهتمام وبعض النقاط اللي ذكرتها في الفيديو

شكراً لك






التوقيع
كنتُ هنا يوماً ما ...
  #11  
قديم 11-07-2010, 02:16 AM
الصورة الشخصية لـ 2m4d
2m4d 2m4d غير متصل
عضو
 
تاريخ التسجيل: Dec 2009
مشاركة: 113
مستوى تقييم العضوية: 15
2m4d is on a distinguished road
الافتراضي

نقاش رائع استمتعت جدا بمتابعته
خير مثال للمناقشة النافعة ..
جزاكم الله خير الجزاء ؛ .. دمتم بود






التوقيع
|| اسم الشركة : تو إم فور ديزين
|| الخدمات المقدمة : تصميم مواقع = تصميمات دعائية = تصميمات شخصية
|| الرابط الرسمي : www.2m4d.com
|| بيانات الاتصال : sales@2m4d.com
|| هاتف : 0020109397768 || 0020120767790
موضوع مغلق




قوانين المشاركة
لا يمكنك إضافة موضوع جديد
لا يمكنك الرد على المواضيع
لا يمكنك إضافة مرفقات
لا يمكنك تعديل مشاركاتك

كود vB متاح
كود [IMG] متاح
كود HTML مغلق
إنتقل إلى

مواضيع مشابهة
الموضوع الكاتب القسم مشاركة آخر مشاركة
شباب الويب العربي .مشرفين الويب العربي .مطلوبين للدخول فورا الهدف الرقمي إدارة وتشغيل السيرفرات 13 21-12-2007 01:21 AM
تــحـب الويب العربي تــعــال حـمـل تولبـار الويب العربي abn-1 المنتدى العام 7 01-09-2007 02:41 PM
الان حصريا على موقع الويب العربي .بدء المزاد العلني على موقع همس القلوب . شركة مشوار مزاد المواقع 5 04-02-2006 10:22 PM
الان حصريا على موقع الويب العربي .بدء المزاد العلني على موقع المملكة . شركة مشوار مزاد المواقع 0 03-02-2006 04:40 PM
الويب العربي ((100%))علي موقع م ه ر تطويرالمواقع 3 21-07-2005 01:26 AM


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 01:56 AM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


 
 »  خدمات البرمجة   »  رئيسية الدليل
  »  خدمات التصميم   »  الأمن والحماية
  »  الدعاية والتسويق
  »  الدعم والتطوير
  »  الشركات الرسمية
  »  حجز دومينات
  »  خدمات الإستضافة
 
 
  »  مكتبة الإستايلات   »  رئيسية المكتبة
  »  أكواد برمجية   »  أدوات الويب ماسترز
  »  مكتبة الهاكات   »  أدوات المصممين
  »  سكربتات متنوعة
  »  مجلات إلكترونية
  »  بلوكات متنوعة
  »  ثيمات مختلفة
 
 

صحيفة متخصصة في متابعة أخبار وجديد الإنترنت العربي
والحوارات الصحفية ومعلومات تقنية متنوعة .

   
 
 

للتواصل مع فريق عمل الويب العربي
يمكنك ذالك من خلال مركز الدعم والمساندة.

 الدعم الفني |  اعتماد العضويات |  قوانين الإنتساب |  إتفاقية الإستخدام |  أهداف الويب العربي |  دليل الشركات |  مكتبة الويب |  صحيفة الويب العربي |  الرئيسية