السلام عليكم
عندي إسفسرا حول ثغرات XSS . قمت بتنصيب برنامج Netsparker و قمت بعمل فحصل لموقع أعمل عليه في Localhost .
البرنامج ساعدني كثيراً في معرفة عالم الثغرات و التي أعتبر مبتدءاً فيه لدرجة كبير.
بخصوص الثغرات الخاصة بقاعدة البينات و التي تعرف بإسم SQL INJECTION لم أجد مشكلة كبيرة في إصلاحها و تصحيح مداخلها.
المشكلة في ثغرات XSS
الثغرات التي يتم فيها تغيير المدخلات أصلحها بإضافة دوال تفكك HTML و JS
لكن هناك نوع من الثغرات و الذي لم أفهم كيف أقوم بإصلاحه و هو سبب هذا الموضوع
البرنامج يظهر لي أن رابطاً ما معرض ل CROSS-SITE SCRIPTING و يقوم بالهجوم عليه عن طريق إضافة هذا الكود
Url
http://localhost.com/items/..."-->netsparker(0x004BFD)
Parameter Name Query Based
Parameter Type FullQueryString
Attack Pattern '"-->netsparker(0x004BFD)
السؤال ببساطة كيف يمكن إصلاح هذه الثغرة.
التعليقات