عندما اعمل محاكاة لموقع من تصميمي واحقن فيه كود الجافاسكربت لعمل ثغرة من نوع Persistent XSS كيف يمكنني الحصول على معلومات الadmin عبرالبريد الالكتروني
بعد اختراق الموقع بثغرة ال Persistent XSS كيف يمكن ارسال الكوكيز عبر البريد الالكتروني؟
اخي ممكن توضحلي ملف الphp اين اضعة في ملفات الموقع؟ الموقع اني واضعة على الlocalhost وكود الحقن ماذا اضع بمكان
يعني ماهو قصدك من يستبدل كل عناوين الروابط إلى الرابط الخاص بملف PHP هل ارفعهم على استضافة مجانية الموقع وملف الphp؟
ارجوك ساعدني لان مشروع تخرج متوقف على خطوة الاستغلال انا وضعت الثغرة في الداتا بيس بصفحة اراء الزوار ومابعرف كيف اكمل ارجوك ساعدني
اذا عندك رابط فيديوياريت تساعدني بي لتوضيح اكثر
شكرالك
ملف PHP المذكور , في الحالة الواقعية يكون في سيرفر خارجي. لكن في حالتك ضعه في اي مكان شئت ب Local Server.
اذا فرضا وضعت ملف PHP في المجلد الرئيسي للسيرفر محلي فسيكون العنوان هو :
"
" + document.cookie"
- الاستبدال يعني ان كل الروابط الموجودة في صفحة الموقع الملغومة سيسبتدل عناوينها الاصلية بعنوان ملف PHP الذي يسرق الكوكيز ولذلك فإن الزائر عندما يظغط على احدى الروابط سيتم تحويله الى ملف السرقة الذي انشئناه.
اني عملت مثل ماشرحت فعند الضغط على رابط في الصفحة الملغومة تظهر صفحة فارغة هذا URL لها
ومايرسل اي شي على الايميل كيف اجعله يرسل الكوكيز على الايميل مع العلم وضعت في ملف الphp اسم الايميل الخاص باستقبال الكوكيز
شكرالك
حبيبي ومن قال انها فارغة ؟ انظر الى URL ..
لقد ارسل كل معلومات الكوكيز بعد علامة كلمة (cookies=). بالنسبة لدالة mail() فيجب ان تقوم بظبط اعدادات بريدك الذي ترسل منه. فجهازك العادي ليس بمخدم بريد الكتروني. لهذا السبب انت بحاجة الى مخدم بريد الكتروني افتراضي كي يحاكي عملية استقبال البريد الالكتروني وكأنما ارسل على الحقيقة و FakeSMTP هو احد برامج مخدم البريد الافتراضي. قم بانزاله وطريقة استخدامه سهلة. وبعد ان يتم ارسال البريد من ملف PHP ستجده بداخل البرنامج.
للأسف صديقي على هذه الطريقة لن تكون مبرمجا ناجحا. لأنك تريد السمكة ولا تجاهد كي تتعلم اصول الصيد. ولو كلفت نفسك قليلا في البحث في جوجل او التفكير لماذا دالة mail() لا ترسل البريد الالكتروني فستجد الاجابة حتما. من سمات المبرمج الناجح انه يطرح الاسئلة بعد البحث !
اخي انا بشكرك جدا جدا لانك قدمتلي المساعدة والله يوفقك يارب
انا اعرف ان الصفحة ليست فارغة وفيها المعلومات الي محتاجة ان ترسل
لكن هذه المعلومات لاترسل على الايميل وانا بحترم رأيك لكن فهمتني غلط انا بحث كثيرا وجربت طرق كثيرة جدا جدا لجعل السيرفر المحلي يرسل على الايميل ولكن كلها لم تنجح معي وانا جدا تعبت بهذا المشروع لاني لا اعرف اي شيئ عنه حتى اسمه كنت لااعرفه
التعليقات