منتديات رحيل لكل العرب - عرض مشاركة واحدة - كيف تستطيع جافا سكريبت التأثير على بيانات الزائر؟

الفارس · 06-04-2019, 08:39 PM

كيف تستطيع جافا سكريبت التأثير على بيانات الزائر؟

كيف تستطيع جافا سكريبت التأثير على بيانات الزائر؟
تنفيذ جافاسكريبت على متصفح الزائر لا يشكل أي خطر على الإطلاق ماعدا ما سنذكره لاحقا، لأن جافاسكريبت تشتغل في بيئة محدودة الصلاحيات تمنعها من الوصول إلى ملفات المستخدم وإلى نظام التشغيل، ويمكنك تجربة ذلك بنفسك، من خلال فتح مفكرة نوتباد ومحاولة حذف ملف أو إعادة تسميته من خلال أوامر جافاسكريبت ستجد أن ذلك غير ممكن باستخدام جافاسكريبت لوحدها.
لكن تأتي خطورة جافاسكريبت من قدرتها على الوصول إلى بعض بيانات المستخدم الحساسة ك Cookies، ومن قدرتها على إرسال HTTP Requests لمحتوى معين إلى وجهة معينة من خلال أجاكس أي تستطيع إرسال البيانات إلى السرفر، وكذلك من قدرتها على تعديل HTML الخاص بالصفحة التي ينفذ عليها سكريبت بسبب DOM methods.
هنا تتجلى الخطورة في تنفيذ أوامر جافاسكريبت على متصفح الزائر، بحيث يكفي تنفيذ أمر document.cookie للحصول على Cookie المرتبط بالموقع ومن ثم إرساله إلى السرفر الخاص بالمخترق من أجل العثور على بعض المعلومات الحساسة مثل معرف Session ID.
أو من خلال تسجيل الحروف Keylogging بحيث يتم قنص الحدث الخاص بالضغط على أزرار لوحة المفاتيح وتسجيل كل ما يتم كتابته وإرساله بعد ذلك إلى سرفر المخترق وقد تشمل النصوص المكتوبة كلمات السر وأرقام بطاقة الائتمان وغيرها..
كما يمكن للمخترق أن يغير DOM الخاص بالصفحة من خلال إضافة فورم إلى الموقع ويضع في action attribute وجهة الإرسال وبالتالي يمكنه استغلال هذا الأمر في عملية Phishing عبر دفع المستخدم إلى إدخال بعض المعلومات الحساسة وهو يظن أنه يدخلها في الموقع وفي الحقيقة سيتم إرسالها إلى سيرفر المخترق.

المصدر: منتديات رحيل لكل العرب - من قسم: قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress

06-04-2019, 08:39 PM	#1
الفارس تاريخ التسجيل: Feb 2019 المشاركات: 1,010 التقييم: 10	الفارس تاريخ التسجيل: Feb 2019 المشاركات: 1,010 التقييم: 10 كيف تستطيع جافا سكريبت التأثير على بيانات الزائر؟ كيف تستطيع جافا سكريبت التأثير على بيانات الزائر؟ كيف تستطيع جافا سكريبت التأثير على بيانات الزائر؟ تنفيذ جافاسكريبت على متصفح الزائر لا يشكل أي خطر على الإطلاق ماعدا ما سنذكره لاحقا، لأن جافاسكريبت تشتغل في بيئة محدودة الصلاحيات تمنعها من الوصول إلى ملفات المستخدم وإلى نظام التشغيل، ويمكنك تجربة ذلك بنفسك، من خلال فتح مفكرة نوتباد ومحاولة حذف ملف أو إعادة تسميته من خلال أوامر جافاسكريبت ستجد أن ذلك غير ممكن باستخدام جافاسكريبت لوحدها. لكن تأتي خطورة جافاسكريبت من قدرتها على الوصول إلى بعض بيانات المستخدم الحساسة ك Cookies، ومن قدرتها على إرسال HTTP Requests لمحتوى معين إلى وجهة معينة من خلال أجاكس أي تستطيع إرسال البيانات إلى السرفر، وكذلك من قدرتها على تعديل HTML الخاص بالصفحة التي ينفذ عليها سكريبت بسبب DOM methods. هنا تتجلى الخطورة في تنفيذ أوامر جافاسكريبت على متصفح الزائر، بحيث يكفي تنفيذ أمر document.cookie للحصول على Cookie المرتبط بالموقع ومن ثم إرساله إلى السرفر الخاص بالمخترق من أجل العثور على بعض المعلومات الحساسة مثل معرف Session ID. أو من خلال تسجيل الحروف Keylogging بحيث يتم قنص الحدث الخاص بالضغط على أزرار لوحة المفاتيح وتسجيل كل ما يتم كتابته وإرساله بعد ذلك إلى سرفر المخترق وقد تشمل النصوص المكتوبة كلمات السر وأرقام بطاقة الائتمان وغيرها.. كما يمكن للمخترق أن يغير DOM الخاص بالصفحة من خلال إضافة فورم إلى الموقع ويضع في action attribute وجهة الإرسال وبالتالي يمكنه استغلال هذا الأمر في عملية Phishing عبر دفع المستخدم إلى إدخال بعض المعلومات الحساسة وهو يظن أنه يدخلها في الموقع وفي الحقيقة سيتم إرسالها إلى سيرفر المخترق. المصدر: منتديات رحيل لكل العرب - من قسم: قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress
	اقتباس