نقش تزریق کد در تامین امنیت وب سایت و رفع اسیب پذیری XSS + ابزار PwnXSS
در این آموزش با نحوه جستجو کردن آسیب پذیری به جهت رفع ان از طریق ابزار PwnXSS برای جلوگیری از تزریق کد به وب سایت آسیب پذیر آشنا خواهید شد،با ما در ادامه این آموزش همراه باشید.
جلوگیری از تزریق کد به وب سایت با باگ XSS
xss یکی از آسیبپذیریهای بسیار مهم و در مواقعی بسیار خطر ناک است که در بسیاری از وب سایت ها یافت می شود و کاری که این آسیبپذیری میکند این است که به هکر اجازه تزریق کد به وب سایت هدف خود را می دهد و به همین خاطر اهمیت زیادی دارد، اما در این آموزش میخواهیم به نحوه جستجو این باگ برای رفع ان با استفاده از یک ابزار قدرتمند بپردازیم برای آشنایی با این باگ میتوانید آموزش باگ xss را در پن تست کور مشاهده کنید.
معرفی ابزار PwnXSS
ابزاری با کارکرد بسیار آسان و نوشته شده به زبان پایتون که قابل اجرا بر روی انواع سیستم عامل ها است و می توانید با استفاده از آن به جستجو آسیب پذیری XSS و جلوگیری از تزریق کد در وب سایت ها بپردازید؛ با وارد آدرس وب سایت به این ابزار تمامی ورودی های GET و POST وب سایت تارگت اسکن می شود و در صورت وجود آسیب پذیری به شما نتیجه را نمایش خواهد داد و میتوانید نسبت به رفع ان ها اقدام کنید، مزیت این ابزار این است که این امکان را دارد در وب سایت مورد نظر شما عملیات خزیدن انجام دهد و تمامی ورودی ها را در صفحات مختلف پیدا و بررسی کند.
نکته: این ابزار قابلیت ست کردن پروکسی و کوکی را دارا است و با این ویژگی ها میتوانید آی پی خود را تغییر دهید و حتی با یوزر لاگین شده تست نفوذ بر روی ورودی های وب سایت خود انجام دهید.
آموزش کار با PwnXSS برای جستجو باگ و جلوگیری از تزریق کد
برای استفاده از این ابزار در لینوکس در ابتدا با دستور git ابزار را از لینک گیت هاب دریافت کنید
و با استفاده از دستور cd وارد دایرکتوری دانلود شده آن شوید:
git clone https://github.com/pwn0sec/PwnXSS
cd PwnXSS
برای اجرای این ابزار و اسکن اسیب پذیری ها باید از پایتون نسخه 3 استفاده کنید
و پیش نیازهای آن را با استفاده از دستورات زیر نصب کنید:
pip install bs4
pip install requests
حال می توانید با استفاده از پایتون به صورت زیر ابزار را اجرا نمایید
همچنین برای مشاهده راهنمای این ابزار میتوانید از سویچ –help استفاده کنید:
python3 pwnxss.py –help
جهت اسکن و جستجوی آسیبپذیری برای جلوگیری از تزریق کد به وب سایت هدف کافیست ادرس سایت مورد نظر را با استفاده از سویچ -u به ابزار معرفی کنید و بعد از اجرای ابزار منتظر بمانید تا در صفحات وب سایت آنالیز را انجام دهد و ورودیهای آسیبپذیر را جستجو کند:
python3 pwnxss.py -u https://site.com
موفق باشید.
۴ دیدگاه در “نقش تزریق کد در تامین امنیت وب سایت و رفع اسیب پذیری XSS + ابزار PwnXSS”
سلام لطفا آموزش های دور از ابزار بزارید برای مثال درون مسابقات باگ بانتی اصلا این ابزار ها حساب نمی شوند و یکی از مهم ترین درآمد های متخصصین امنیت با بانتی هست پس بهتر است بیشتر به سمت دستی شدن برویم بعد از حرفه ای شدن در آن وارد ابزار ها شویم .
درود
بله ما آموزشهای مختلفی قرار میدهیم برای سطح های مختلف شما آموزشهایی که بیشتر بدون استفاده از ابزار ها هستند را مشاهده کنید.
و این ابزار ها هم در عملیات تست نفوذ بسیار کاربردی هستند و می توانند کار را برای ما سریع تر کنند اما فقط با اتکا به ابزار ها نباید تست نفوذ انجام داد.
سلام، ممنون از معرفی کردن این ابزار. کار باهاش خیلی راحته.
درود بر شما
خوشحالیم این اموزش برای شما کاربردی یوده است.
موفق باشید.