https://virgool.io/learners/feed سلام دوستان به سایبر سکیور خوش اومدین اینجا اولین انتشارات منه با من باشید که قراره در دنیای امنیت غرق بشیم fa 2026-06-16 16:28:31 https://files.virgool.io/upload/publication/advyncoo99km/hjom3g.jpg https://virgool.io/learners https://virgool.io/learners/%D8%AA%D8%B9%DB%8C%DB%8C%D9%86-%D9%88-%D8%AA%DA%A9%D9%84%DB%8C%D9%81-%D9%87%DA%A9%D8%B1-%D9%87%D8%A7%DB%8C-%DA%A9%D9%84%D8%A7%D9%87-%D8%B3%D8%A8%D8%B2-%D9%BE%D8%A7%D8%B1%D8%AA-%DB%B2-jtkttcxnhm9z خب دوستان به پست من خوش اومدین. این پارت دوم این سری هست و ما قسمت به قسمت به جزییات بیشتر می پردازیم.از اونجایی که صلاح دونستم با دنیای امنیت شما رو آشنا کنم و درکی از راهی که برای خودتون درست کردید داشته باشید این سری رو طراحی کردم.*من می خواستم در اول بخش در مورد اینکه هکر کیست بپردازم؛ اما متوجه شدم این مطلب نیازمند به یک پست دیگر است*security+:برای ورود به دنیای هک و امنیت این دوره الزامیه.این دوره به شما الفبای امنیت رو یاد میده؛ اینکه امنیت چند بخش و...این بخش بیشتر متکی به شبکه هست و حتما لازمه که از شبکه سر در بیارید.علاوه بر این دوره تئوری هست اما شما میتونید دوره هایی رو پیدا کنید که به صورت عملی یا سناریو محور این دوره رو آموزش بدن.درضمن شما در این دوره به هکر موفق یا خفن تبدیل نمیشید؛ در اصل هیچ کس نشده و اگه هم میخواید فقط با دیدن این دوره به یک هکر تبدیل بشید بهتره از این دوره صرفه نظر کنید.نیاز ها :این دوره خودش پیش نیاز بقیه دوره های امنیت هست اما شما نیاز دارسد که حداقل ۲سال تجربه داشته باشید ( مثل ترم دو دانشجوی رشته مهندسی کامپیوتر) البته این رو من نمیگم خوده شرکت کامپتیا گفته.CEH:این دوره یکی از شرینی های دوران هکر های کلاه سبزه ( از جمله خودم ) حتما می پرسید چرا ؟؟چونکه شما روش های پایه نفوذ؛هک؛ کنترل؛افزایش دسترسی و... یاد می گیرید حتی یاد می گیرید اگه با این روش ها به شما حمله شد چطور از خودتون دفاع کنید.دقت داشته باشید؛ که بستگی به این که این دوره را از کجا تهیه کردید هم داره. و شما قرار نیست همه راه نفوذ و یا دفاع رو یاد بگیرید؛شما پایه کار رو یاد می گیرید و بقیش به عهده و تجربه و یا تمرین خودتون هست.مدارک دیگه ایی هم می شد در این پست معرفی کرد ولی اینا ها پیش نیاز هستند فارغ از حوزه ایی.شاید سراغ مدارک مظلوم دیگه ایی هم رفتیم خدا رو چه دیدید...امیدوارم این پست شما رو کمک کرده باشه سوالی چیزی داشتید در خدمتم اگر دوست داشتید کامنت کنید یابه ایمیل من پیام بدید:dhwqymhmdtaha@gmail.comمن خوش حال میشم که به پرس های شما پاسخ بدم ( تا جایی که بلد هستم).خودتون بگید پست بعدی در مورد چی باشه؟؟ حتما کامنت کنید:)موفق؛شاد؛پیروز و سرزنده باشید.:) cyber-secure learner Sun, 09 Jul 2023 23:40:05 +0330 https://virgool.io/learners/%D8%AE%D8%AF%D8%A7%DB%8C-%D8%AE%D8%AF%D8%A7%DB%8C%D8%A7%D9%86-%D8%A7%D8%B3%D9%85%D8%A8%D9%84%DB%8C-lxc1sjeiiynq زبانی که تمامی زبان های برنامه نویسی به وجود اون هست که می درخشند ( به جز پایگاه داده و چیز هایی که مربوط به سایت و شبکه میشه‌)زبانی که تا همین حالا هم قدرتمند می درخشد.زبانی که اگر بنده او بشوید شما را سر بلند می گرداند.زبانی که به واسطه ما از این زندگی بهره می بریم.و این زبانی نیست جز اسمبلی.زبانی که بهش خیلی کم لطفی شده زبانی که حتی زبان برنامه نویسی سی به واسطه اونه که به وجود اومده!!!!هر زبانه برنامه نویسی که با اون کار می کنیم به لطف اسمبلی هست.شاید بپرسید چرا و اصلا این زبان برنامه نویسی اسمبلی چه هست؟؟ و چرا داری چرت و پرت میگی!!!؛ ولی صبر کنید دوستان شما حتی آشنایی کاملی با این زبان ندارید.پس بزارید کامل توضیح بدم و بعد هرچی دلت خواست بگو!!اسمبلی چیست؟زبان اَسمبلی (به انگلی: Assembly language) یا همگذاری یک زبان برنامه‌نویسی سطح پایین برای رایانه‌ها و دیگر دستگاه‌های برنامه‌پذیر است که رابطهٔ یک-به-یک با دستورالعمل‌های زبان ماشین معماری رایانه دارد. هر زبان اسمبلی مختص به یک معماری رایانه خاص است، برخلاف بیشتر زبان‌های برنامه‌نویسی سطح بالا که با معماری‌های مختلف سازگار هستند ولی برای اجرا شدن به مفسر و مترجم نیاز دارند.زبان اسمبلی با استفاده از یک برنامهٔ جانبی به نام اسمبلر یا همگذار، به کد ماشین قابل اجرا تبدیل می‌شود؛ به این فرایند تبدیل، اسمبل کردن (به انگلیسی: Assembling) گفته می‌شود.این چرت و پرتی که خوندید کتابی بود؛ خیلی ساده بگم زبان اسمبلی همون زبان صفر و یک هست ولی نام گذاری شدن مثلا ۱۰۱۱۱ میشه mov هرچند که مطمعنا این نمیشه ولی برای یک مثال کافی هست.چرا زبان اسمبلی سخت است؟خب واضحه که این زبان خیلی سخته و دلایل روشنی هم داره اما هرچیزی سختی های خودش رو داره و یا بهتره بگیم هرچیزی بهای خودش رو داره.شما باید درک کافی از معماری سیستم مخصوصا سی پی یو داشته باشید. ( که خودش پروسه پیچیده ایی هست )ریاضی بلد باشید ( برای تبدیل مبنا و درک بهتر )الگوریتم ساز خفنی باشید چون اگه اشتباه کنید کارتون تمومه دقت کنید به هرچی که می نویسیدصبور باشیدشاید بگید این ها که کاری نداره اما سخت دراشتباهید؛ تا حالا سینتکس زبان اسمبلی رو دیدید؟؟ اونم فقط یک سلام دنیای ساده؟؟!!پس بیا هضمش کن:global _start ;must be declared for linker (ld)_start: ;tells linker entry pointmov edx,len ;message lengthmov ecx,msg ;message to writemov ebx,1 ;file descriptor (stdout)mov eax,4 ;system call number (sys_write)int 0x80 ;call kernelmov eax,1 ;system call number (sys_exit)int 0x80 ;call kernelsection .datamsg db 'Hello, world!', 0xa ;string to be printedlen equ $ - msg ;length of the stringچی شد تو که فکر می کردی خیلی ساده است؟؟ تازه این اضافه کن هر معماری با معماری دیکه فرق میکنه‌(زبان های اسمبلی با هم فرق دارن البته بستگی به سیستم عامل و سی پی یو داره مثلا معماری لینوکس AT&T هست که با ویندوز فرق داره اما با اسمبلر های خاص میشه این زبان رو عوض کرد)حالا هم که داری با خودت میگی فایده یاد گرفتن این زبان چیه؟!!!خب بزار رک و پوست کنده بگم شما میتونید با مغز سیستم تون در ارتباط باشید ( سی پی یو ) که این خودش چیزه کمی نیست.اما اگه هدف های پلید تر و کثیف تر هم داشته باشید شما میتوند خیلی کارهای دیگه بکنید مثلا:کرک ( مهندسی معکوس )ساخت بد افزار هایی که سیستم رو با خاک یک سان کنند یا سیستم رو در اختیار بگیرن ( بستکی به هدف طرف داره )تجزیه و تحلیل بد افزاررمزنگاریرمزگشاییکنترل کامل سخت افزار مثل رم ( چون سی پی یو در اختیار دارید )اینا سه تا از دلایل اصلی برای یادگیری این زبان هست؛ هرچند شما فقط با یادگیری این زبان به این سطح نمی رسید و باید خیلی چیز های دیگه رو یاد بگیرید.اما با این وجود شما بعضی از سایت ها رو میبینید که به این زبان توهین کردند ولی این ها از خدا بی خبرند!!!این زبان آزادی کامل داره ( هرچند که آزادی میتونه ترسناک باشه )زبان اسمبلی مادر تمام زبانهای برنامه نویسی اتوماتیک می باشد و دومین زبان قدرتمند جهان بعد از زبان ماشین است . متاسفانه فرار از اسمبلی کاملا بی فایده هست چرا که در نهایت کد برنامه ما تبدیل به اسمبلی و بعد به ماشین تبدیل میشه ( صفر و یک )ما هیچ نیازی به توابع زبانهای سطح بالا نداریم و می توانیم کماکان از همان توابع سیستم عامل ویندوز یا وقفه های بایوس استفاده نماییم . یا حتی خودمان با کمک زبان اسمبلی می توانیم ، توابع جدید بسازیم ! بله به همین دلیل این زبان واسه خودش غولی هست اما متاسفانه منابع یادگیری این زبان بسیار کمه ( حتی تو سایت های انگلیسی زبان ) اما به قدری هست که بشه یاد گرفت و اون رو درک کرد.منابع:ویکی پدیاvahidmy.blog.irایمیل من برای پرسش و پاسخ و نظر سنجی :dhwqymhmdtaha@gmail.comشماره کارت برای حمایت از من؛ حمایت شما باعث پشتکار و تلاش من میشه :)6280-2313-4679-7441شاد و پیروز باشید(: cyber-secure learner Sun, 02 Jul 2023 07:41:11 +0330 https://virgool.io/learners/%D8%AA%D8%B9%DB%8C%DB%8C%D9%86-%D9%88-%D8%AA%DA%A9%D9%84%DB%8C%D9%81-%D9%87%DA%A9%D8%B1-%D9%87%D8%A7%DB%8C-%DA%A9%D9%84%D8%A7%D9%87-%D8%B3%D8%A8%D8%B2-wpluwpo4l7em دیگه وقتشه از سردرگمی نجاتتون بدم و بهتور یه مسیر استاندارد رو برای یک هکر شدن بگم ( هرچند که مسیر یکیه ولی راه و روش فرق داره‌)خب لیستی که من میگم دارای ترتیب خاصی نیست و صرفا از منطق میرم جلو .۱ زبان انگلیسی:بله درسته زبان انگلیسی چرا که هنوز ایران در بخش آی تی هنوز به پیشرفت و نبوغ خودش نرسیده و منابع خیلی خیلی زیادی نداره برای یادگیری و یادتون باشه جدیدترین متود ها یا چیز های آی تی اول در غرب منتشر میشن بعد به شرق انتقال داده میشن.منابع یادگیری زیاد و خوبی هست در زبان فارسی اما زبان انگلیسی زبان علم هست و یادگیریش از خود فارسی هم واجبه.۲ لینوکس:درست دیدید لینوکس!!! فرقی نمیکنه میخواید برید چه حوزه ایی شما باید لینوکس رو تا جایی که مغزتون می کشه باید لینوکس رو یاد بگیرید. حتما می پرسید چرا؟؟۱: ۹۰ درصد برنامه های مخصوص هک و امنیت تویه این سیستم عامل هست۲: رایگانه و هزاران هزار نسخه و یا به اصطلاح دیسترو داره مثل کالی لینوکس که سرآمد شون هست۳: شما کنترل سیستم عامل رو کامل در اختیار دارید!!! و تا حدی میتونید فایل های سخت افزار کامپیتور خودتون رو تغیر بدید و میتونید تا جایی که سیستم عامل میکشه شخصی سازیش کنید.۴: شما میتونید هسته سیستم عامل رو دستکاری کنید و یا برای خودتون یه سیستم عامل کاملا جدید بسازید!!!۵: جامعه یا به اصطلاح کامیونیتی بزرگی داره و میتونید از خیلی ها کمک بگیریدبله درسته این هم دلیل هست اما بازم بدونید که دلایل خیلی بیشتر هم هست. که قابل توضیح دادن نیستند .۲ الگوریتم : بله باید الگوریتم یاد بگیرید که بتونید به همه زبان های برنامه نویسی مسلط بشید یادتون باشه که یک زبان برنامه نویسی حتی اگه سریع ترین و قدرمند ترین زبان برنامه نویسی هم باشه؛ بدون اون شخصی که بلده باهاش کار کنه و الگوریتم برنامه رو کنترل و بهینه کنه هیچی نیست!!!درضمن زبان برنامه نویسی چیزی جز چندتا واژه کلیدی نیست.۳ زبان برنامه نویسی:هکری که برنامه نویسی بلد نباشه مثل سربازیه که اسلحه دستش نباشه!!!شک نکنید باید زبان برنامه نویسی رو یاد بگیرید فرقی نمیکنه چه حوزه ایی اما باید زبان برنامه نویسی اون حوزه رو یاد بگیرید.دقت کنید که زبان برنامه نویسی استاندارد اون حوزه رو یاد بگیرید مثلا نیاید پایتون بخونید بعد برید تو حوزه سخت افزار!!!یا نیاید زبان سی یاد بگیرید بعد برید حوزه وب یا شبکه!!!!پس حسابی دقت کنید؛ هرچند فرقی نداره در اون حوزه اول چه زبانی رو یاد بگیرید؛ چرا که شما در نهایت برنامه نویسی رو یاد میگیرید ( از جادی میرمیرانی ).۴ شبکه:شما باید شبکه رو بلد باشید باز هم فرقی نداره برید چه حوزه چون هر هکری باید شبکه رو بلد باشه ( تا حدی )مخصوصا اگر تو تست نفوذ؛ تست شبکه؛ وایرلس هکینگ و ...حتی اگه تو حوزه سخت افزار کار می کنید باید شبکه رو بلد باشید.خب دوستان اینم از پست کوتاه من در مورد هک و امنیت . امیدوارم خوشتون اومده باشهایمیل من برای پرسش و پاسخ به سوالات شما:dhwqymhmdtaha@gmail.comشماره کارت برای حمایت از من؛ حمایت از من باعث خوشحالی و پشتکار من میشه:):6280-2313-4679-7441شاد و پیروز باشید تا پست ب cyber-secure learner Fri, 30 Jun 2023 23:12:17 +0330 https://virgool.io/learners/%D8%AA%D9%81%D8%A7%D9%88%D8%AA-hard-link-%D9%88-soft-link-efhvmntoawkg ما در این پست قراره که تفاوت این دو نوع لینک رو یاد بگیریم و تا حدی بفهمیم که اصلا چی هستند. نکته: من تا جایی که بلد هستم یاد میدم نه بشتر نه کمتر‌ ( البته یخ کم بیشتر:))درضمن:فقط به من اکتفا نکنید و فقط به حرف های من هم اعتماد نداشته باشیدinode :شما باید اول با این مفهوم آشنا بشید؛ من خوشم نمیاد متنم زیاد و طولانی باشه پس همه اش رو به صورت نکته وار می گم مگر اونجا هایی که لازم باشه:)whatis( یکم لینوکسی شد )inode: inode محل نگهداری مربوط به یک فایل است و محل فایل با شماره آن مشخص میشود. نکته اول: فایل سیستم ها دنیایی از inode هست نکته دوم: تویه لینوکس تقریبا همه چیز فایل هست!!!!حالا چه چیز های تویه inode وجود داره؟:مسیر اصلی فایل شامل base name و dirname هر فایلتعداد لینک های هر فایلآخرین تغییرات در فایلتاریخ اخرین دسترسی به فایلسطح دسترسی های مرتبط با این فایل (permission )و خیلی از چیز های دیگه....نکته :در حقیقت فایل سیستم شامل میلیون ها inode می باشد که با ایجاد هر فایل در لینوکس این فایل به یکی از این شماره ها (inode ) لینک میشه.whatis hardlink?:در صورتی که بخواهیم یک فایل با دو نام متفاوت داشته باشیم به گونه ای که فایل مورد نظر از دو مسیر قابل دسترسی باشد از مفهومی بنام hard link استفاده میشه.خیلی کتابی بود نه؟پس بزار دوباره نکته وار بگم:):فایل هارد لینک برابر با فایل اصلیه ( معادل کپی کردن)آی نود ( inode ) برابر با فایل اصلیهمیگی نه؟!! نیگا کن:لطفا فقط و فقط به اون عدد های سمت چپ نگاه کنید که هردوشون 265927 هستند.به نظر شما خصوصیات هارد لینک ها چیه؟:هر تغییری که بر روی Hard Link یا فایل اصلی انجام شود بر روی هر دو اعمال می گردد.اگر اسم فایل اصلی را کند Hard Link (با توجه به اینکه به ماهیت Inode اشاره دارد) تغییر نخواهد کرد.یک Hard Link تنها در همان سیستم فایلی کار میکند که فایل اصلی در آن موجود است.با هارد لینک در لینوکس  نمی‌توان بین دایرکتوری‌ها پیوند ایجاد کردحالا چیطوری تو لینوکس یه هارد لینک درست کنیم؟؟؟؟این طوری:خب حالا بزارید توضیح بدم که اصلا چی شد!!!!مرحله اول: من یه فایل ساختم به نام هاردمرحله دو: تبدیل ش کردم به یه فایل هارد لینک به نام هارد فایل ( نام جدید)دستور تبدیل به هارد لینک: ln my-file new-fileبخش اول دستور: با این دستور میشه هارد لینک ساخت lnبخش دوم دستور: فایل فعلی هست که ساختم و از قبل داشتم my-fileبخش سوم دستور: اسم فایلی هست که میخوام بدم یا به عبارتی اسم جدید فایل که اسمش هست new-fileمرحله سوم: گرفتن مقدار آی نود هر فایل با دستور ls -liنتیجه : آی نود این دو فایلی که ساختیم برابر با 265705 هست.whatis soft link:سافت لینک در لینوکس مفهومی شبیه مفهوم shortcut در ویندوز را دارد. به soft link سمبولیک لینک هم می گویند. با ساخت این نوع از لینک، یک فایل جدید ساخته می شود که در آن مسیر فایل اول قرار دارد. متاسفانه بلد نیستم این یکی رو غیر کتابی بگم چون خودمم اینجوری یاد گرفتم:(اموزش ساختن سافت لینک :شما مو به مو دستورات قبل رو اجرا میکنید اما بعد ln باید از آپشن s - استفاده میکنیدتفاوت هارد لینک و سافت لینک:soft link برخلاف hard link (که یک نسخه کپی از فایل اصلی است) پیوند واقعی به فایل اصلی ایجاد می کند.اگر فایل اصلی حذف شود، فایل ایجاد شده از طریق Soft Link چون به یک فایل غیر موجود اشاره می‌کند دیگر ارزشی ندارد.در سافت لینک تنها تنها مسیر فایل اصلی نگهداری می شود و از محتوای آن خبری نیست.لینک ایمیل من ( نه هارد لینک نه سافت لینک) برای پرسش و پاسخ و نظرات شما:dhwqymhmdtaha@gmail.comشماره کارت من برای حمایت؛ حمایت شما باعث دلگرمی من میشه و پشتکار من رو افزایش میده:6280-2313-4679-7441شاد و پیروز باشید:) cyber-secure learner Wed, 28 Jun 2023 19:12:19 +0330 https://virgool.io/learners/%D8%A8%D8%A7%DA%AF-xss-%DA%86%DB%8C%D8%B3%D8%AA-xamq9a48fbpi سلام بر دوستان عزیز خوش اومدین به وبلاگ جدید من؛ امروز قرار توضیحی مختصر در باره باگ XSS بدیم و امیدوارم مفید واقع بشه.باگ اصلا چی هست؟معمولا کسانی که در حوزه نرم افزار؛ سیستم؛ وب؛ داده؛ امنیت و... کار می کنند؛ به خطا های کوچکی که در برنامه ها به وجود میاد باگ میگویند.اما شما به طور کلی می تونید «اشکال» بگید؛ اما به فرایند اشکال زدایی یا رفع اشکال دیباگ گفته می شود.اولین باگ دنیا چه زمانی بود؟اولین بار در سال 1945 به وجود اومد و به لطف خانم گریس هاپر این لغت به وجود اومد ( Grace Murray Hopper ) که نیروی دریایی هم خدمت میکرد؛ و مشغول کار به روی ماشین MARK II بوده بود.اولین باگ چطور به وجود اومد؟درست در سال 1945 که خانم گریس هاپر به همراه چند نفر دیگه از متخصصین مشغول کار به روی دستگاه MARK II بودند متوجه شدند اختلال عملکرد این دستگاه شدند و فهمیدند که این اختلال به خاطر وجود یک حشره در این دستگاه هست!چند نوع باگ داریم؟ما حدود هفت نوع باگ داریم ( به طور کلی! ) که به طور کلی شامل :خطا های منطقی: در موقعیتی که منطق برنامه اشتباه پیاده سازی شود؛ مثل اجرای یک برنامه ایی که به طور بی نهایت یک چرخه رو انجام بده. نحوی ( سینتکس): زمانی که قواعد نوشتاری اون زبان برنامه نویسی رعایت نشود. محاسباتی: زمانی که محاسبات ریاضی اشتباهی صورت بگیرد؛ به عنوان مثال مثلا نتیجه تقسیم بر یک عدد فرضی باشه اما جواب غلط در بیاد منابع: این باگ زمانی به وجود میاد که برنامه در به کار گیری منابع به مشکل برخورد کنه مثلا اشاره به یک متغیر نامفهومکار تیمی: خب فکر کنم این یکی واضح باشه وقتی شما تویه یک تیم بزرگ هستید؛ بعضی از کارها تا حدی بسیار ساده تر هستند اما کنترل کردن کارها و نظم بخشی به اون کارها سخت تر میشوند چرا که کنترل کردن صد نفر سخن تر از کنترل کردن ده نفر هست تعامل: به عنوان مثال وقتی نرم افزار با سخت افزار به مشکل میخوره؛ مثل استفاده از API ها چند رشته ایی: خب آخرین نوع باگ هست و بعضی جا ها هم تاثیر به سزایی هم میزاره و این نوع باگ به طور معمول با رشته های یک پردازنده کار داره. حملات XSS چگونه انجام می شود؟این نوع حملات به چند دسته تقسیم می شوند: Reflected XSS(بازتاب ایکس اس اس)زمانی که یک برنامه داده ای را در یک درخواست HTTP دریافت می کند به وجود می آید.مثال:سایت هایی که در آن ها برخی از پردازش ها را از طریق Query string انجام می دهند،در مقابل این نوع از حملات آسیب پذیر هستند.به این صورت که مهاجم می تواند با تغییر المان های داخل Query string در نوار آدرس، محتوای صفحه را تغییر داده ویک لینک به صفحه حاوی اسکریپت های مخرب در آن ایجاد کند.اگر کاربر از URL ساخته شده توسط مهاجم بازدید کند،اسکریپت مهاجم در در مرورگر کاربر اجرا می شود.در این صورت، اسکریپت می تواند هر عملیاتی را انجام دهد وهر داده ای را که کاربر به آن دسترسی دارد بازیابی کند.XSS ذخیره شدهبا عنوان second-order XSS نیز شناخته می شود؛هنگامی به وجود می آید که برنامه یا صفحه تحت وب، داده ای را از یک منبع غیر قابل اعتماد دریافت می کند واین داده ها را در پاسخ های HTTP خود به روشی ناامن قرار می دهد.مثال:فرض کنید یک وب سایت به کاربران اجازه می دهد که نظرات خود را در مورد پست های وبلاگ ارسال کنند تابرای سایر کاربران نمایش داده شود.در این بین کاربران مهاجم نظرات خود را با درخواست HTTP همراه با کدهای مخرب ارسال و به اصطلاح به صفحه تزریق می کنند.به عنوان مثال برخی از کاربران با استفاده از این روش حمله باگ XSS،با هر بار لود صفحه کاربران نهایی را مجبور به دانلود یک برنامه یا فایل مخرب با نام های مستعار و کاربردی می کند.XSS مبتنی بر DOMDOM چیست؟ DOM یا Document Object Model نمایش سلسله مراتبی مرورگر وب از عناصر موجود در صفحه استآسیب پذیری های XSS مبتنی بر DOM یا DOM-based XSS معمولا زمانی ایجاد می شوند کهJavaScript داده ها را از یک منبع قابل کنترل توسط هکر یا مهاجم گرفته و اجرا می کند (مانند یک URL).این امکان مهاجمان را قادر می سازد تا حساب های کاربران دیگر را بدزدند.مثال:در این روش تگ های HTML به عنوان شیئی در زبان JavaScript در نظر گرفته می شوند کهمی توان محتوای آن ها را تغییر داده و یا حتی آن ها را حذف کرد.توجه داشته باشید که DOM به خودی خود مشکلی ایجاد نمی کند؛چرا که یک بخش جدایی ناپذیر از نحوه کار وب سایت های مدرن است؛اما به این دلیل که جاوا اسکریپت داده ها را به طور نا امن کنترل می کند،می تواند بستری برای حملات مختلف باشد.برخی از موارد آسیب پذیر در وب که معمولا برای حملات Cross-site Scripting استفاده می شوند، عبارتند از:انجمن هاصفحات چتصفحات وبی که امکان ارسال نظر دارندحملات XSS از طریق موراد زیر امکان پذیر است:JavaScriptVBScriptActiveXFlashCSSچرا جاوا اسکریپت؟به این دلیل که JavaScript پایه و اساس بخشی از عملکردهای مرورگر است (از JavaScript در نوشتن بخش هایی از مرورگرها استفاده شده است).منابع:namatek.comسرخوش و خرم باشید تا یه جایی نو هفته های بعد:) cyber-secure learner Wed, 14 Jun 2023 16:43:27 +0330