ما هي ثغرة XSS و كيف تحمي موقعك منها

1 . ما هي ثغرة xss

ثغرة [ XSS ] هي اختصار لـ[ Cross site scripting ] وسبب عدم كتابتها بالاختصار الصحيح [ CSS ] لكي لا يحدث خلط مع لغة الـ[ CSS ] الانماط القياسية المعروفة [ Cascading Style Sheets ] , وبذلك تم تسميتها [ XSS ] !

المواقع اصبحت تحتاج الى طرق تفاعل مع المستخدم " الزائر " ومن اساليب التفاعل هو السماح له بادراج رد وتعليق اعجاب , اوحتى وان كان السكربت يطبع مايدخله الزائر كما تفعل الكثير من السكربتات الخاصة في البحث ..

طباعة المخرجات دون الفلترة هو نقطة تكوّن ثغرات الـ[ XSS ] وذلك لان المستخدم يمكنه ادراج اكواد html , ** script والخ من ملحقات لغة html وينفّذ هذا المدخل في الصفحة , وهذا يعني تخطيه صلاحياته في الطباعه , وكما يعلم الجميع ان ثغرات [ XSS ] تعد من اكثر الثغرات انتشاراً والسبب هو ان المبرمج يحتاج الى حماية المخرجات والقيام بفلترتها . .

2. كيف تحمي موقعك منها [ للمبرجين ]

للحماية من  هذه الثغرة يجب فلترة طباعة المخرجات وسوف أعطيكم مثال لقد أعددت سكريبت تعطيه اسمك و عمرك ثم يطبعهما و قمت بفلترة المدخلات لكي لا أقع في ثغرة و هاهو سورس السكربت

<?php

if ( isset ($_POST['name'], $_POST['age'])) {

        $name = htmlentities($_POST['name'], ENT_QUOTES, 'UTF-8');

        $age = (int)$_POST['age'];

        echo "You are {$name}and you are {$age} years old.";

}

?>

 

<form action="index.php" method="post">

     <input type="text" name="name" placeholder="Name">

    <input type="text" name="age" placeholder="Age">

    <input type="submit">

</form> 

 هذا مثال و يمكنك أن تعدله لموقعك ( للبحث في الموقع ... )