خطأ ام ثغرة ؟

بتاريخ 1 ساعة قال امل العماد:

أهلا, لقد ظهر التالي ماذا يعني ؟

 

مرحبا امل .

هذه الرساله ليست خطأ فى تنفيذ الشيفرة بل هى تشير الى انه فى حقل password يتم ارسال قيمة تحتوى على نص خطر من المحتمل ان يصيب النظام.

وهذه ثغره تسمى SQL Integration و cross-site attack .

ال SQL injection هو ان يقوم المستخدم بادخال نص خاص بتنفيذ تعليمات sql بدلا من النص الذى يجب ادخاله وحين استعمالها على الخادم الخاص بك تصبح البيانات فى خطر اذا لم يتم التحقق من البيانات التى ارسلها المستخدم . فمثلا بدلا من ان يدخل المستخدم كلمة المرور لتسجيل الدخول يقوم بكتابه تعليمة sql لتمكنه من تسجيل الدخول بدون الباسورد فقط بالايميل.

اما cross-site attack وهو ما يظهر فى رساله الخطا هو بدلا من ادخال نص عادى يقوم المستخدم بادخال اوامر js او عناصر html تمكنه من حقن اوامر ضارة . فمثلا لنفترض هنا فى موقع الاكاديمية بدلا من ان المستخدم يقوم بادخال اسمه يقوم بادخال شيفرة جافاسكربت تقوم بقراءة ال cookies وارسالها الى الخادم الخاص بالمخترق وحين يقوم المخترق بكتابة تعليق او حتى سوال او يظهر اسمه فى اى صفحه فان شيفرة الاختراق سوف ترسل معلومات الضحيه للمخترق لذلك يجب التاكد من عدم حصول هذا .

ويظهر انكى تحاولين ادخال قيمةخاطئة فى حقل password كما هو موضح وتقومين بادخال شيفرة وليس نص لذلك يحدث هذا الخطا .