البرمجة النصية عبر الموقع (XSS)
تعتبر هجمات البرمجة النصية من خلال المواقع (XSS) هي نوع من الحقن ، حيث يتم حقن البرامج النصية الخبيثة في مواقع الويب الحميدة والموثوقة. تحصل هجمات XSS عندما يستخدم المهاجم تطبيق ويب لإرسال تعليمات برمجية ضارة ، بشكل عام في شكل نص برمجي من جانب المستعرض ، إلى مستخدم نهائي مختلف. تنتشر العيوب التي تسمح لهذه الهجمات بالنجاح وتحدث في أي مكان يستخدم فيه تطبيق الويب مدخلات من مستخدم داخل المخرجات التي يولدها دون التحقق من صحتها أو تشفيرها.يمكن للمهاجم استخدام XSS لإرسال برنامج نصي ضار إلى مستخدم غير مرتاب. ليس لدى مستعرض المستخدم النهائي طريقة لمعرفة أنه لا ينبغي الوثوق بالبرنامج النصي ، وسيقوم بتنفيذ البرنامج النصي. نظرًا لأنه يعتقد أن البرنامج النصي جاء من مصدر موثوق ، يمكن للبرنامج النصي الضار الوصول إلى أي ملفات تعريف ارتباط أو رموز جلسة أو معلومات حساسة أخرى يحتفظ بها المتصفح ويتم استخدامها مع هذا الموقع. يمكن لهذه البرامج النصية إعادة كتابة محتوى صفحة HTML. لمزيد من التفاصيل حول الأنواع المختلفة من عيوب XSS ، راجع: أنواع البرمجة النصية عبر المواقع .
هجمات XSS المخزنة والمعكوسة
يمكن العمل على تصنيف هجمات XSS عمومًا إلى فئتين: المخزنة والانعكاس. هناك نوع ثالث أقل شهرة من هجمات XSS يسمى DOM Based XSS والذي تمت مناقشته بشكل منفصل هنا .
هجمات XSS المخزنة
الهجمات المخزنة هي تلك التي يتم فيها تخزين النص البرمجي المحقون بشكل دائم على الخوادم المستهدفة ، مثل قاعدة بيانات ، أو منتدى رسائل ، أو سجل زائر ، أو حقل تعليق ، وما إلى ذلك. معلومة. يشار إلى XSS المخزنة أحيانًا باسم ثابت أو XSS من النوع الأول.
المراجع
owasp.org
التصانيف
علم الحاسوب برمجة إنترنت العلوم التطبيقية