Jhon Week نشر 4 ديسمبر 2025 أرسل تقرير نشر 4 ديسمبر 2025 (معدل) "><img src="x:x" onerror=alert('xss')> تم التعديل في 4 ديسمبر 2025 بواسطة Jhon Week 1 اقتباس
0 محمد عاطف25 نشر 4 ديسمبر 2025 أرسل تقرير نشر 4 ديسمبر 2025 هذا مثال على هجوم XSS (Cross-Site Scripting). فالكود عبارة عن payload يستخدمه المخترق لاختبار ما إذا كان موقعك غير محمي ويسمح بحقن JavaScript داخل الصفحة. ويعمل الكود كالتالي : <img src="x:x"> هنا الصورة غير صالحة وبالتالي سيحدث خطأ. onerror=alert('xss') وهذا الجزء عند حدوث الخطأ يتم تنفيذ الكود داخل onerror. وفي هذا المثال سيظهر alert('xss') كدليل على نجاح الاختراق. اقتباس
0 عبدالباسط ابراهيم نشر 15 ديسمبر 2025 أرسل تقرير نشر 15 ديسمبر 2025 لتفهم وظيفة هذا الكود لنحاول تفكيكه أولاً فالجزء <img src="x:x" ينشئ وسم صورة HTML مع مصدر غير صحيح أو غير موجود. لذلك سيفشل المتصفح في تحميل الصورة. والجزء onerror=alert('xss') هنا يكمن الخطر الحقيقي. عندما يفشل تحميل الصورة، يتم تشغيل حدث onerror الذي يحتوي على كود JavaScript (في هذه الحالة alert('xss')). هذا يعني أن كود JavaScript سينفذ في المتصفح . وفي هذا المثال البسيط، الكود يعرض فقط رسالة تنبيه. لكن في الهجمات الحقيقية، يمكن للمهاجم أن يستبدل alert('xss') بأكواد أكثر خطورة مثل سرقة ملفات تعريف الارتباط (cookies)، إعادة توجيه المستخدم لمواقع ضارة، أو سرقة بيانات حساسة. ولحماية تطبيقات الويب من مثل هذه الهجمات، يجب علىك تنظيف المدخلات أي يجب تحويل الرموز الخاصة مثل <, >, ", ' إلى HTML entities واستخدام Content Security Policy اقتباس
0 Sherif Aboghazala نشر 18 ديسمبر 2025 أرسل تقرير نشر 18 ديسمبر 2025 ما هو XSS؟ XSS (Cross-Site Scripting) هو نوع من ثغرات الأمان في المواقع. ببساطة: المهاجم يدخل كود جافاسكريبت أو HTML في الموقع. هذا الكود يتم تنفيذه عند زيارة المستخدم العادي للموقع. النتيجة: المهاجم ممكن يسرق بيانات، أو يغير محتوى الصفحة، أو يعرض نوافذ مزعجة، أو حتى يتحكم بالجلسة (Session) للمستخدم. شرح الكود <img src="x:x" onerror=alert('xss')> الجزء الأول: <img src="x:x"> هذا عنصر صورة. src="x:x" غير صالح، أي الصورة لن تُحمَّل. المتصفح سيحاول تحميل الصورة، ويفشل، فيحدث خطأ تحميل. الجزء الثاني: onerror=alert('xss') onerror هو حدث (Event) يُنفَّذ عند حدوث خطأ في العنصر (مثل فشل تحميل صورة أو فيديو). هنا الخطأ متوقع لأنه src غير صالح. القيمة alert('xss') تعني: "شغّل نافذة منبثقة فيها نص 'xss'". ماذا يحدث عمليًا؟ المتصفح يرى <img src="x:x" onerror=alert('xss')>. يحاول تحميل الصورة من x:x → يفشل. يحدث خطأ → onerror يُنفَّذ → يظهر alert('xss'). لماذا يستخدم المهاجمون هذا؟ هذه مجرد طريقة اختبار للثغرة. بدل alert('xss')، يمكنهم وضع كود ضار مثل: سرقة الكوكيز: document.cookie إعادة توجيه المستخدم لموقع آخر تعديل محتوى الصفحة لتظهر رسائل خادعة نقاط مهمة هذا الهجوم يحدث فقط إذا لم يقم الموقع بتنظيف أو حماية المدخلات (Input Sanitization). المواقع الآمنة: تمنع تنفيذ أي جافاسكريبت من مدخلات المستخدم، أو تستخدم Content Security Policy (CSP). اقتباس
السؤال
Jhon Week
"><img src="x:x" onerror=alert('xss')>
تم التعديل في بواسطة Jhon Week3 أجوبة على هذا السؤال
Recommended Posts
انضم إلى النقاش
يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.