ترقيع XSS , HTML Injection - How to Prevent vulnerability HTML Injection & XSS
مرحبا شباب ..
هذه الفترة اعمل مطور برمجيات في شركة وبالتأكيد توجد انظمة تستخدمها الشركة لأرسال تذاكر من العميل للدعم الفني
وهي تسمح للمهاجم بأرسال POST Request يحتوي على بعض الـ Exploits عندما يفتح التذكره الدعم الفني تقوم بسرقة Cookies وارساله للمهاجم وبهذه الحالة سوف يتمكن المهاجم من الدخول او عمل Page Redaction ويخترق الشركة
هذه الفترة اعمل مطور برمجيات في شركة وبالتأكيد توجد انظمة تستخدمها الشركة لأرسال تذاكر من العميل للدعم الفني
وبعد ان قمت بأختبار هذا النظام الذي تم برمجته من قبل شخص عمل في الشركة التي اعمل بها
وجدت ضعف امني وهو XSS و HTML Injection
وهي تسمح للمهاجم بأرسال POST Request يحتوي على بعض الـ Exploits عندما يفتح التذكره الدعم الفني تقوم بسرقة Cookies وارساله للمهاجم وبهذه الحالة سوف يتمكن المهاجم من الدخول او عمل Page Redaction ويخترق الشركة
وايضا الضعف الامني بأدراج اكواد HTML ويتم تنفيذها بكل سهولة لا حاجة ان نتكلم ما هي الخطورة في هذه الموقف
وكما نعرف اغلب موظفين الدعم الامني للشركات ليس لديهم وعي بالامن المعلوماتي ..
لا اريد ان اطيل عليكم هذه صور لترقيع ..
vulnerability Fix
After
Before :)
Many Thanks
Comments
Post a Comment