رفتن به مطلب



iran rules jazbe modir
ADS mahak

پست های پیشنهاد شده

باگ XXE چیست ؟

سایت های بسیاری در جهان هک میشوند و هر سایتی از روش ها و باگ های مختلفی مورد نفوذ قرار میگیرند

اما در این اموزش به باگ XXE رایج در وب اپلیکیشن ها میپردازیم این باگ مخفف XML External Entity میباشد

همانطور که از نامش پیداست مربوط به XML میشود در واقع امکان اجرای کد های xml را به هکر میدهد

 

سطح دسترسی

در باگ XXE سطح دسترسی میتواند برای هکر بسیار بالا باشد به دلیل ان که امکان نوشتن و خواندن کد XML دارند

میتواند بعضی فایل های درون سرور را با استفاده از این باگ بخوانند و اطلاعات حساسی را از درون سرور بردارند

یا حتی در مواردی هم میتوانند در سرور دستور اجرا کنند

که به همین دلیل میتوان گفت xxe یکی از باگ های بسیار خطرناک و مهم  است

در بهترین حالت ممکن هکر درون فایل xml یک دیفیس قرار میدهد و سایت را دیفیس میکند

روش های دیگری هم در شرایط مختلف میتواند وجود داشته باشد که ما به چند مورد از ان ها اشاره کرده ایم

 

اموزش باگ یابی XXE

روش های زیادی برای جستجو کردن این نوع از باگ ها وجود دارد مانند استفاده از ابزار ها و غیره

اسکنر ها : بعضی از اسکنر های امنیتی برای امنیت بیشتر در وبسایت ها باگ xxe را مورد برسی در هنگام اسکن قرار میدهند

هر مقدار اسکنر ها باگ ها بیشتری را شناسایی کنند و حساسیت ان ها بلاتر باشد اسکنر قدرتمند تری میشوند

به طور مثال میتوانید اموزش نسوس را مشاهده کنید

که یکی از اسکنر های امنیتی بسیار عالی میباشد و قابلیت اسکن باگ xxe را هم دارد

اسکنر های دیگری هم هستند مانند اکانتیکس که میتوانید از ان ها هم استفاده کنید آموزش و دانلود اکانتیکس را مشاهده کنید

جستجو دستی : در جستجو دستی هکر باگ را باید با تست های مکرر پیدا کند که زمان زیادی میگیرد اما دقیق تر انجام میشود

 

نتیجه گیری اموزش باگ XXE

باگ XXE یک باگ حساس امنیتی در وب اپلیکیشن ها است

که از طریق ورودی هایی که امکان ارسال xml را میدهند بوجود می اید

و این امکان را دارد تا کاربر کد های ان را بخواند و تغیر دهد

برای پیدا کردن این باگ میتوانید به صورت دستیو یا با اسکنر ها اقدام کنید

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

telegram channel   jazbe modir

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   بازگردانی قالب بندی

  حداکثر استفاده از ۷۵ شکلک مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به عنوان یک لینک به جای

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

در حال بارگذاری

  • مطالب مشابه

    • توسط  Mmdperi
      خسته نباشین تو ی بازی انلاین ک ایمیل میخواد و پسوورد یکی اومد و فقط با دونستن ادرس ایمیلم اکانتمو گرفت.یعنی ب ایمیلم دسترسی نداشت ک بازیابی کنه فقط ب ادرس ایمیل دسترسی داشت.میخواستم بدونم الان ک ایمیل اون اکانتمو طرف تغییر داده ممکنه بتونم ب اون اکانت دسترسی پیدا کنم؟و اینکه چطور میشه فیلد های ی صفحه رو هک کرد؟خیلی ممنون
    • توسط  Doctor Robot
      باگ چیست ؟
      در سال 1945 ماشین حسابی به مشکل بر خورد و از کار افتاد که خانمی با نام گریس هاپر به جستجو و رفع این مشکل پرداخت و شروع به جستجو کرد و جالب است که بدانید مشکل از وجود یک حشره در میان قطعات دستگاه بود و زمانی که ان حشره را از میان قطعات بیرون کشیدند دستگاه مجدد شروع به کار کرد
      اما امروزه باگ ها به دلیل وجود حشرات نیستند بلکه باگ ها از اشتباهات برنامه نویسان به وجود می اید که باعث به وجود امدن مشکلاتی ازجمله مشکلات امنیتی می شود و هکر ها از این مشکلات امنیتی می توانند استفاده کنند و به هدف دلخواه خود دست پیدا نمایید که در ادامه بیشتر با این موضوع مهم اشنا خواهید شد.
    • توسط  Doctor Robot
      سی شارپ چیست؟
      سی شارپ (#C) یک زبان برنامه‌نویسی شیء گراست، که توسط شرکت مایکروسافت ساخته شده و ترکیبی از قابلیت‌های خوب ++C و JAVA است. اگر با این دو زبان آشنایی دارید، این شانس را دارید که زبان #C را راحت یاد بگیرید. این زبان به قدری راحت است که هم کسانی که قبلاً برنامه‌نویسی نکرده‌اند و هم دانش آموزان می‌توانند راحت آن را یاد بگیرند.
      از سی شارپ، می‌توان برای ساخت برنامه‌های تحت ویندوز، تحت وب، وب سرویس‌ها، برنامه‌های موبایل و بازی‌ها استفاده کرد. می‌توان به جای واژه ویژوال سی شارپ از کلمه سی شارپ استفاده کرد، اما ویژوال سی شارپ به معنای استفاده همزمان از سی شارپ و محیط گرافیکی ویژوال استودیو می‌باشد. این زبان برنامه‌نویسی تنها زبانی است که مخصوصاً برای دات نت فریم ورک طراحی شده است.
      سی شارپ از کتابخانه کلاس دات نت که شامل مجموعه بزرگی از اجزاء از قبل ساخته شده است، استفاده می‌کند. این اجزاء به ساخت هر چه سریع‌تر برنامه‌ها کمک می‌کنند. سی شارپ یک برنامه بسیار قدرتمند و شیء گرا است و با آن می‌توان برنامه‌هایی با قابلیت مدیریت بیشتر و درک آسان ایجاد کرد. ساختار این زبان نسبت به زبان‌های دیگر بسیار آسان و قابل فهم است.
      برای اجرای یک برنامه سی شارپ ابتدا باید دات‌نت فریم‌ورک نصب شود. سی شارپ یکی از زبان‌هایی است که از تکنولوژی‌های دیگر دات نت مانند، ASP.NET ،Silverlight و XNA پشتیبانی می‌کند. همچنین یک محیط توسعه یکپارچه دارد که آن نیز به نوبه خود دارای ابزارهای مفیدی است که به شما در کدنویسی کمک می‌کند.
    • توسط  blackpetya
      با سلام با اموزش نصب vscode  بر روی debian
      ابزار vscode یک idle زیبا برای برنامه نویسان است این ابزار به صورت رایگان برای ویندوز - لینوکس - مک عرضه شده است دراین اموزش میخوام اموزش نصب کردن vscode بر روی دبیان رو برای شما دوستان انونیسک اموزش دهم .
      ابتدا به لینک زیر رفته و فایل را دانلود کنید :
      برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

      حالا بعد از دانلود کردن فایل را به دسکتا‍‍پ پیست کنید و ترمینال را اجرا کنید :
      ابتدا دستور زیر را بنویسید تا به دایرکتوری دسکتاپ برود :
      برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      حالا با تای‍پ کردن دستور زیر فایل vscode نصب خواهد شد :
      برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      و بعد از ان vscode نصب خواهد شد و ایکونش در دسکتاپ نمایش خواهد شد .
      امید وارم خوشتان امده باشد موفق و سربلند باشید سوالی بود در قسمت faq مطرح فرمایید با تشکر .
       
  • کاربران آنلاین در این صفحه   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.

×
×
  • جدید...