XSS Portswigger labs

مشروع تطبيقي قائم على حلّ مختبرات XSS من PortSwigger Web Security Academy بهدف اكتساب خبرة عملية في كشف واستغلال وتصحيح أنواع XSS المختلفة.

PortSwigger

ما قمتُ به عمليًا:

حلّ مختبرات تعرّضت لأنواع XSS: Reflected, Stored, DOM-based، وتحليل كيف ومتى يمكن تنفيذ الشيفرة الخبيثة داخل صفحات الويب.

PortSwigger

+1

تعرّفت على سيناريوهات حماية مثل CSP وواجهات حماية WAF، وتدرّبت على أساليب تجاوز عوامل التصفية (bypass) وإيجاد vectors مناسبة لكل سياق.

PortSwigger

+1

استخدمت أدوات عملية: Burp Suite (intercept, repeater, intruder)، متصفح + DevTools، وPortSwigger labs console لتجربة payloads وإثبات الثغرات.

PortSwigger

المهارات المكتسبة والنتائج:

فهم عملي لكيفية دخول بيانات المستخدم إلى صفحات الويب (sinks/contexts) وكتابة payloads تناسب كل سياق.

PortSwigger

+1

توثيق واضح لخطوات الاستغلال (POC) وآليات الاستفادة المحتملة (مثل سرقة جلسة، تنفيذ أوامر بصلاحيات المستخدم)، مع توصيات تصحيحية وفق معايير OWASP.

OWASP Cheat Sheet Series

+1

ماذا أقدّم كخدمة/نتيجة قابلة للتسليم:

تقرير مفصّل لكل مختبر حليته (وصف الثغرة، كيفية استغلالها مع POC، مستوى الخطورة، وخطوات إصلاح مقترحة).

سكربتات/payloads نموذجية (عند الحاجة) لتشغيل إثبات الفكرة داخل بيئة اختبارية فقط.

نصائح عملية لفرق التطوير حول تصفية المدخلات، الترميز الصحيح للمخرجات، استخدام CSP، والاختبارات الآلية.