السلام عليكم ورحمة الله وبركاته الحمد لله وحده نحمده ونشكره ونستعين به ونستغفره وأشهد أن محمدا عبده ورسوله صلى الله عليه وسلم وعلى آله وصحبه
إن هذه الأداة المبينة بلغة البايثون أي أنه يجب أن تقوم بتنصيب لغة البايثون على الويندوز أو على اللينكس والمسماة XSSYA والتي هي من صنع المبرمج HG Yehia Mamdouh فهي تقوم أولا بالفحص الموقع ليس بأكمله فقط الصفحات التي بها ثغرة من نوع XSS أي Cross Site Scripting فإذا كانت تلك الصفحة بها ثغرة من نوع XSS يقوم بعدها باعطائك البايلودات التي من خلالها يمكنك استغلال تلك الثغرة أي يعني اختراقك للموقع.
في هذا الفيديو لم أذهب بعيدا بهذه الأداة لكن وضحت مدى قوة هذه الأداة من خلال فحص الثغرة واستخراج كافة البايلودات المناسبة بحسب نوع ثغرة الـ XSS لأن هذه الثغرة بها أشكال متنوعة.
لمعرفة أكثر عن نوع هذه الثغرة Cross Site Scripting في هذا الفيديو قمت بشرح استغلال ثغرة XSS على مختبر BTS PenTesting Lab وذلك من خلال حقن كود HTML أو JavaScript للتأكد ان كان الموقع مصاب بالثغرة أو لا وبعدها قمت بسحب كوكيز الأدمين الذي من خلاله يمكننا الولوج إلى الموقع بدون معرفة الباسوورد, هذا في المختبر أما إذا كانت العملية على شبكة الويب فإنه يجب عليك التوصل بصاحب الموقع بأي طريقة وذلك من أجل سحب الكوكيز الخاص بحسابه بالطبع يكون موقعه مصاب بثغرة الـXSS ولكن ليس عن طريق ملف تم انشاءه بلغة الـphp كما رأيناه في مختبر BTS PenTesting Lab ولكن هذه المرة عن طريق شيل يتم استضافته في سيرفر معين.
روابط التحميل:
