هجوم البرامج النصية للمواقع المشتركة Cross-Site Scripting Attack (XSS)

ما هو هجوم البرامج النصية للمواقع المشتركة؟

هو عبارة عن هجوم حقن برمجيات ضارة في موقع ويب موثوق، ويحدث هذا الهجوم من خلال حقن هذه البرامج في محتوى موقع الويب المستهدف وصولاً إلى متصفح الضحية.

أنواع هجوم البرامج النصية للمواقع المشتركة

توجد ثلاثة أنواع لهجوم البرامج النصية للمواقع المشتركة، وهي:

• هجوم البرامج النصية للمواقع المشتركة المخزنة: يتم حقن البرامج النصية الخبيثة في موقع ويب وتخزينها على الخادم. عندما يزور المستخدم الصفحة المصابة، يتم تحميل البرنامج النصي الخبيث وتنفيذه في متصفحه. يمكن أن يؤدي هذا إلى سرقة بيانات المستخدم، أو تعديل صفحة الويب، أو تنفيذ أوامر غير مصرح بها.
• هجوم البرامج النصية للمواقع المشتركة المرتدة: يتم حقن البرنامج النصي الخبيث في بيانات الطلب مثل عنوان URL أو نموذج ويتم عرضها في الصفحة الخاصة بالمستخدم. عندما ينقر المستخدم على الرابط المصاب أو يقدم النموذج، يتم تنفيذ البرنامج النصي الخبيث في متصفحه ويتم تحريض سلوك المستخدم، مثل النقر على روابط احتيالية، لتنفيذ البرامج النصية الخبيثة.
• هجوم البرامج النصية للمواقع المشتركة لـ (DOM): يستغل هذا النوع من الهجوم ثغرات في نموذج الكائنات المستندية (DOM) الذي يعمل بواسطة جافا سكريبت. ويتم تحميل البرنامج النصي الخبيث وتنفيذه مباشرة في متصفح المستخدم عندما يتم تشغيل (DOM) بواسطة البرامج النصية المحقونة في صفحة الويب. 

كيف تمنع هجوم البرامج النصية للمواقع المشتركة؟

تساعد مجموعة من الممارسات في التقليل من احتمالية التعرض لهجوم البرامج النصية للمواقع المشتركة، إليك أبرزها:

• البحث عن أي نقاط ضعف في تطبيق الويب وتصحيحها بشكل مستمر.
• تعطيل البرمجة النصية على الصفحات بحيث لا يتم تشغيلها.
• تجنب النقر فوق الروابط من رسائل البريد الإلكتروني المشبوهة أو النوافذ المنبثقة لأنها قد تؤدي إلى صفحات تحتوي برامج ضارة.
• استخدام مضادات فيروسات عالية الجودة لتحجب التهديدات الشائعة والمعقدة مثل الفيروسات والبرامج الضارة وبرامج الفدية وتطبيقات التجسس.
• الحفاظ على تحديث البرنامج للاستفادة من أحدث إصلاحات الأخطاء و تصحيحات الأمان.