هذه تجربة حدثت معي قبل فترة قصيرة. لن أدخل هنا في تفاصيل كيف بدأ الموضوع. ولكن ما جاء أثناء التحقيق فيه. ملف index.php موجود على مجلد من المجلدات لم يقم الشخص صاحب المحتوى بإنشاء المجلد أو الملف. بالنظر إلى كود الملف الملف يقوم بإنشاء صفحات مع كلمات مفاتيح مثل فيديو ترفيه ألعاب …إلخ ويقوم أيضاً بإنشاء مجلدات بطريقة عشوائية في الصفحة التي يتم إنشاؤها يتم تضمين الكود التالي:
عند زيارة صفحة تحتوي هذا الكود المستخدم (الزائر) لن يلاحظ أي شيء ولكن في الخفاء سيتمّ الاتصال بالموقع السيء من أجل الحصول على تعليمات. الموقع المذكور مصنّف على أنه malware يقوم بالاتصال بالمنزل للحصول على تعليمات. هذه التعليمات قد تكون سرقة بيانات خاصّة مثل الكوكيز وقد تكون عبارة عن تحميل لبرنامج سيء على حاسوب الزائر دون علمه. استخدم خيالك لما قد يكون البرنامج.
هذا المعطيات لم تجب على سؤال كيف ظهر هذا الكود ويدأ بالانتشار مما استدعى عمل بحث شامل على جذر المشكلة. بدأت العملية ببحث عن كافة ملفات PHP بعد ذلك قمت باختيار ملف من الملفات حسب اسمه (للاسف لا استطيع ذكر اسم الملف) والذي اعرف أن هناك اصدارات منه تحتوي على ثغرات تسمح بعمل حقن XSS ووجدّت فيه الكود التالي:
كلمة body هي نهاية الكود الأصلي وبداية الكود السيء. الكود اعلاه موجود في صفحات موقع مشهور ويزوره عدد كبير من الزّوار يوميّاً. كل زائر من زوار الموقع معرّض لاستقبال الكود السيء بمجرد زيارة الصفحة التي تحتوي هذا الكود. فقط من يستخدم NoScripts في فايرفوكس ولديه تعطيل iframe من المحتمل أن ينجو من هذا الاختراق. (بعد انتهاء الفصل الدراسي الحالي سأقوم إن شاء الله بتجهيز مختبر واستخدام الكود الذي وجدّته من اجل الاتصال بالموقع ومعرفة تفاصيل أكثر حول ما يقوم به بالضبط.)
اختبرت وتعاملت مع XSS لفترة ولكن كل ذلك كان يتم داخل مختبر وليس على موقع يعمل. هذه تجربة اعطتني نظرة عن قرب لمدى خطورة هجمات XSS. لا يوجد استثناءات في الاستهداف قبل يومين تمّ اكتشاف ثغرات في موقعي أشهر شركتان في مجال أمن المعلومات سيمانتك و كاسبرسكي.
معلومات اكثر حول الثغرة في موقع سيمانتك يمكنكم الحصول عليها من هذا الموقع.
أي شخص معرض ليكون ضحيّة من ضحايا XSS فمثلاً موقعك المشهور قد يكون فيه ثغرة XSS أنت تقوم بزيارته وتتعرض للإصابة. قد يكون موقع مزوّد خدمة الانترنت لديك.
العام الماضي شهد موجة هائلة من حقن iframe داخل صفحات مشهورة عن طريق تسميم نتائج البحث في غوغل.
سواء كنت مستخدم لينكس ماك ويندوز أو غيره أنت معرض لهكذا هجمات. قد تتراوح درجات الخطورة ولكن الخطر لا يزال قائم وأقلّه سرقة بيانات شخصيّة خاصة بك مثل الكوكيز. انتبه للمواقع التي تزورها. حتى لو زوّدك صديق به عن حسن نيّة. فلا يوجد ضمانات أنّ الموقع آمن.
بوركت يا دكتور و إن شاء الله ننتبهلها و في أظن أن هناك إضافات تححد من هذه الثغرات .. لكني اعتقد أن ثغرة ال iframe لم تعد تعمل الأن
شكرا على المعلومات الجميلة
للأسف أخي صبري لا زالت موجودة وتعمل وبشكل كبير حسب ما رأيت…طبعاً قد لا تعمل في حالة تفعيل No Scripts ولكن كم عدد الأشخاص الذين يستخدمونه. ثم لنفرض أنّ موقعك المفضّل يحتوي على هذه الثغرة طبعاً حتى لو كنت تستخدم No Script فسوف تضع موقعك المفضّل والذي تثق فيه في القائمة البيضاء.
جزاك الله كل خير اخي الغالي الباحث
وإياكم أخي الكريم…نوّرت
أعتقد إنه لن ينجح مع opera
opera أكثر المتصفخات أماناً
سينجح مع أوبرا اخي احمد إلّا اذا كان اوبرا يعطّل هذه الخاصيّة وهو ما استبعده.
شكرا لك اخي الباحث عن الموضوع الشيق……….. انا طالب دكتوراة في علوم الحاسوب ………. و موضوع بحثي و اطروحتي يتحدث عن نفس فكرة الموضوع المطروح و كيفية الحماية منه بعمل طريقة جديدة للحماية منه …… برجاء ارسال لي مثال كامل عن كيفة عمل ال xss مع الخطوات مشرحة لانها هذه هي البداية…… حيث يجب فهم العلة لايجاد الحل لها
برجاء المساعدة في البحث مع خالص الشكر و التقدير
حيّاك الله أخي hazemel وإن شاء الله موفق في رسالتك. بالفعل الموضوع شيّق جدّاً وهناك الكثير من المواقع العربية والعالمية تعاني من هذه الثغرة حتى الآن. طبعاً هناك طرق كثيرة للحماية منها أهمها تبدأ بتوعية المطوّرين حول خطورة هذه الهجمات وكيف يمكن تجاوزها من خلال عملية كتابة كود يقوم بترشيح لمدخلات المستخدم.
سأحاول إن شاء الله جمع المصادر التي لدي ووضعها هنا حتى يستفيد منها الجميع إن شاء الله.
شكرا اخي على الرد و لكني لم اتلقى اي رد. انا الان اقوم بعمل بحث عن متال كامل حقيقي لتتبعه و معرفة حقيقة عمله برمجيا ……….الرجاء المساعدم في ايجاد هذا المثال جديا…….ز اني احاول جاهدا و لكن كل الامثلة الموجودة بالنت غير كاملة و الشرح لها يكون معني بنقطة معينة فقط………. الرجاء المراسلة ان وجدت غند حضرتكم الفائدة
شكرا لوقتكم الثمين
صدقاً لم أنس طلبك أخي حازم ولكن لم يتوفر لي الوقت لوضع درس كامل حول الموضع. دعك من أمثلة النت حاول الحصول على نسخة من هذا الكتاب ففيه طلبك
http://www.amazon.com/XSS-Attacks-Scripting-Exploits-Defense/dp/1597491543/ref=sr_1_1?ie=UTF8&s=books&qid=1247238549&sr=8-1
كذلك هناك مواد فيديو على youtube تشرح لك بالتفصيل ومن خلال امثلة حيّة كيفية عمله. هناك فيديو رائع ولكن لا أدري كيف يمكنك الحصول عليه لشركة رائع جدّاً في مجال حماية المواقع اسمها SPI Dynamics والفيديو تطرق إلى مثال حول كيف تم استخدام هذه الثغرات في الهجوم الذي تعرض له موقع myspace الشهير. وهذه نتيجة بحث حول ابحاثهم الرائعة في هذا الموضوع
http://www.google.com/#hl=en&q=SPI+Dynamics+xss&aq=f&oq=&aqi=&fp=KxYPMM6r3XA
عانيت ولا زلت اعاني من اختراقات XSS , الاسف لا تةجد طريقة يمكنني بها معرفه ادا كان موقعي مصاب اولا , الا ادا اتصل بي احد من زواري والعني على المشكل …
هل توجد طريقة لمنع frame من العمل على السيرفر ؟؟
أخي عبدو حيّاك الله.
هناك برمجيات يمكنك استخدامها من أجل فحص الموقع ضد أنواع مختلفة من الثغرات ومنها XSS. ابحث عن web scanners
للأسف غالب هذه البرمجيات تجارية وبأسعار عالية. كذلك لا يمكنها اكتشاف كل الثغرات. المنع عملية طويلة تحتاج إلى مراجعة كود الموقع في كل مكان يمكن للمستخدم ادخال بيانات فيه.
إذا كنت تستخدم برامج ادارة محتوى مثل wordpress فلا داعي للقلق (في أغلب الأحيان) حيث هناك مئات المطوّرين الذين يراجعون الكود.