هک سایت با باگ xss(فورم های ارسال نظرات ، فورم وارد کرد نام و...)
سلام
ما با این باگ میتونیم به صفحات وب نفوذ کنیم
برای اینکه بفهمیم سایت ما باگ داره یا نه باید در کادر های (ارسال نظرات ، وارد کردن نام کاربری و...) و هر کادری که بشه داخلش تایپ کرد
دستور زیر را وارد میکنیم
<script>alert(111)</script>
و ثبت نظر (ثبت نام کاربری یا.) را میزنیم
اگر بدون هیچ مشکلی ثبت شد و بعد از طرف مرورگر به ما پیغام 111 آمد
یعنی سایت باگ دارد
حالا بریم سراغ در اوردن کوکی سایت
برای این کار در کادری که اسم رو از ما میگیره مینویسیم
<script>alert(document.cookie)</script>
بعد کوکی سایت رو به ما میده :)
خب حالا میگم که چرا این اتفاق افتاد و چگونه جلوگیری بشه
به کد زیر نگاه کنید
<HTML>
<TITLE>Hello</TITLE>
<SCRIPT>
var pos=document.URL.indexOf("name=")+5;
document.write(document.URL.substring(pos,document.URL.length));
</SCRIPT>
</br>
Wellcome To Weblog
</HTML>
در کد بالا نام کاربر رو ازش میپرسه و خوش آمد میگه
در کد بالا فیلتری برای name تعیین نشده و این یعنی میتونه
کد های مارو قبول کنه
خب حالا ما میایم این کد رو اصلاح میکنیم
<SCRIPT>
var pos=document.URL.indexOf("name=")+5;
var name=document.URL.substring(pos,document.URL.length);
if (name.match(/^[a-zA-Z0-9]$/))
{
document.write(name);
}
else
{
window.alert("شما از کارکترهای غیر مجاز استفاده کرده اید");
}
</SCRIPT>
دربالا تعدادی کاراکتر رو فیلتر کردیم که کاربر نتونه از این کاراکتر های استفاده کنه
امیدوارم بدرتون خورده باشه
نظر فراموش نشه ؛)
Nice,