جاوا اسکریپت سیاه – راهنمای JavaScript برای هک و امنیت

تسلط بر زبان برنامه نویسی جاوا اسکریپت مهارتی ارزشمند برای علاقه‌مندان به دنیای «تست نفوذ» (Penetration Testing | Pen Test) است، زیرا این زبان به‌طور گسترده در برنامه‌های کاربردی مُدِرن تحت وب استفاده می‌شود. با اتخاذ تاکتیک‌ها و ترفندهای مهاجمان و به وسیله جاوا اسکریپت می‌توان نقایص امنیتی را شناسایی کرد و اقدامات متقابل مناسب را برای کاهش خطرات پیشنهاد داد. این رویکرد از جاوا اسکریپت به عنوان «جاوا اسکریپت سیاه» شناخته می‌شود.

دقت داشته باشید این مقاله صرفاً با هدف آموزش تهیه و تنظیم شده است و مجله تم آف هیچگونه مسئولیتی درباره هرگونه استفاده غیرمجاز از آن ندارد. شرایط استفاده از مجله تم آف را می‌توانید به صورت کامل در این لینک مطالعه کنید.

مقدمه جاوا اسکریپت سیاه

جاوا اسکریپت نوعی زبان برنامه‌ نویسی محبوب در وب است که آن را به هدفی اصلی برای مجرمان سایبری تبدیل می‌کند. استفاده گسترده و اجرای آن در سمت دستگاه کاربر یا مشتری فرصت‌هایی را برای حمله‌های سایبری مختلف ایجاد می‌کند. با این حال، با دانش اولیه جاوا اسکریپت، می‌توان آسیب‌پذیری‌هایی مانند «اسکریپت‌نویسی بین سایتی» (Cross-Site Scripting | XSS) و «جعل درخواست بین‌سایتی» (Cross-Site Request Forgery | CSRF) را کشف و از آن‌ها برای بهبود امنیت پلتفرم مد نظر خود استفاده کرد.

دانستن مهارت‌های جاوا اسکریپت سیاه به کاربران کمک می‌کند تا از برنامه‌های کاربردی خود بهتر محافظت کنند. در این مطلب از «مجله تم آف» این بار قصد داریم جاوا اسکریپت را از دیدگاه امنیت شبکه و اینترنت مورد بررسی قرار داده و فرصت‌ها و تهدیدهای آن را در فضای دیجیتال بررسی کنیم.

چرا یادگیری جاوا اسکریپت لازم است؟

جاوا اسکریپت یکی انواع زبان‌های برنامه نویسی قدرتمند و پرکاربرد محسوب می‌شود که در برنامه نویسی وب مدرن به ضرورتی غیرقابل‌انکار تبدیل شده است. جاوا اسکریپت به توسعه‌دهندگان اجازه می‌دهد تا محتوای تعاملی و پویا برای وب‌سایت‌ها و برنامه‌های کاربردی وب ایجاد کنند. این زبان برنامه نویسی محبوب به عنوان نوعی زبان سمت کلاینت، مستقیماً در مرورگر وب کاربر اجرا می‌شود و صفحات وب را پاسخگوتر کرده و تجربه کلی کاربر را بهبود می‌بخشد.

با جاوا اسکریپت، توسعه‌دهندگان می‌توانند عناصر «HTML» را دست‌کاری کرده، «مدل شیء سند» (DOM) را کنترل کنند و با سایر فناوری‌های وب مانند «CSS» تعامل داشته باشند. این عناصر رابط کاربری غنی، اعتبار سنجی فرم و به‌روزرسانی محتوای پویا را ارائه می‌دهند که همگی برای توسعه وب مدرن بسیار مهم هستند.

انعطاف‌پذیری، سهولت استفاده و سازگاری جاوا اسکریپت با پلتفرم‌های مختلف، آن را به ابزاری حیاتی برای توسعه‌دهندگان وب تبدیل کرده است. در واقع، طبق نظرسنجی توسعه‌دهندگان «Stack Overflow» در سال۱۴۰۰ (۲۰۲ میلادی)، جاوا اسکریپت برای دهمین سال متوالی محبوب‌ترین زبان برنامه نویسی در بین توسعه‌دهندگان بوده است.

آیا متخصصان جاوا اسکریپت می توانند به هکرهای اخلاقی تبدیل شوند؟

توسعه‌دهندگان جاوا اسکریپت این فرصت منحصربه‌فرد را برای تبدیل شدن به «هکرهای اخلاقی» (Ethical hacker) یا «هکرهای کلاه سفید» (White Hat Hacker) دارند تا دانش خود از این زبان را با مهارت‌های پیشرفته «امنیت سایبری» (Cybersecurity) ترکیب کنند. توسعه‌دهندگان با درک مفاهیم امنیتی، شناسایی حفره‌های امنیتی و آسیب‌پذیری‌های رایج و آشنایی با ابزارهای مرتبط، پروتکل‌های شبکه و سیستم‌های عامل، می‌توانند به هکرهای اخلاقی تبدیل شوند. در کل زبان برنامه نویسی جاوا اسکریپت شامل فرصت‌ها و تهدیدهای زیادی در دنیای هک و امنیت است.

نحوه عملکرد جاوا اسکریپت به چه صورت است؟

قبل از اینکه درباره جاوا اسکریپت سیاه توضیحاتی ارائه شود، آشنایی با نحوه کار این زبان در برنامه‌های کاربردی وب خالی از لطف نیست، برای این کار باید با ابزار کنسول توسعه‌دهنده مرورگر آشنا شد. این ابزار داخلی در مرورگرهای وب به کاربران امکان می‌دهد کدهای HTML ،CSS و جاوا اسکریپت در حال اجرا را در صفحات وب بررسی، عیب‌یابی و تجزیه‌وتحلیل کنند.

دسترسی به کنسول توسعه‌دهنده در مرورگر فرایندی آسان است که طبق دستورات زیر انجام می‌شود:

1. برای مرورگر کروم: کلیدهای میانبر «Ctrl + Shift + J» در ویندوز و لینوکس یا کلیدهای میانبر «Cmd + Opt + J» در مک
2. فایرفاکس: کلیدهای میانبر «Ctrl + Shift + K» در ویندوز و لینوکس یا کلیدهای میانبر «Cmd + Opt + K» در مک
3. مرورگر سافاری: فعال کردن منوی «Develop» در تنظیمات و زدن کلیدهای «Cmd + Opt + C»

نکته: در همه مرورگرها کافی است مرورگر را باز و با کلیک راست، گزینه «Inspect» یا «Inspect Element» را انتخاب کنیم.

با کنسول توسعه‌دهنده، می‌توان مشکلاتی را که ممکن است در کدهای جاوا اسکریپت ایجاد شود، شناسایی و دیباگ کرد. همچنین با استفاده از این ابزار می‌توان نگاه دقیق‌تری به نحوه ساخت اپلیکیشن‌های وب داشت و آسیب‌پذیری‌های امنیتی احتمالی را شناسایی کرد؛ بنابراین یادگیری جاوا اسکریپت سیاه چه برای کاربران و توسعه‌دهندگان عادی جاوا اسکریپت و چه برای هکرهای اخلاقی مهارتی لازم و ضروری محسوب می‌شود.

کاربرد کنسول توسعه‌ دهنده در مرورگر برای جاوا اسکریپت سیاه چیست؟

کنسول توسعه‌دهنده ابزار قدرتمندی است که تب‌ها و پنل‌های مختلفی را برای اهداف مختلف فراهم و آن را به ابزاری ضروری برای توسعه‌دهندگان وب و هکرهای اخلاقی تبدیل می‌کند.

در ادامه مهم‌ترین بخش‌های این ابزار کاربردی در مرورگر آورده شده است:

• «عناصر» (Elements یا Inspector): این تب به کاربر امکان می‌دهد HTML و CSS صفحه وب را بررسی و اصلاح کند. می‌توان از آن برای بررسی ساختار صفحه و ایجاد تغییرات در کد به صورت فوری استفاده کرد.
• «کنسول» (Console): با این تب می‌توان دستورات جاوا اسکریپت را اجرا و پیام‌های خطا یا گزارش‌ها را مشاهده کرد. همچنین می‌توان از آن برای آزمایش کد جاوا اسکریپت و تعامل با عناصر صفحه وب نیز بهره برد.
• «منابع» (Sources یا Debugger): این تب برای اشکال‌زدایی کدهای جاوا اسکریپت ضروری است. می‌توان از آن برای تعیین نقاط شکست، اجرای گام‌به‌گام اشکال‌زدایی و رفع مشکلات کدها استفاده کرد.
• «شبکه» (Network): تب Network به کاربر اجازه می‌دهد تا درخواست‌های شبکه را نظارت کرده و گلوگاه‌های عملکردی را تجزیه‌وتحلیل کند. می‌توان از آن برای مشاهده ترافیک شبکه ایجاد شده به وسیله صفحه وب و بهینه‌سازی عملکرد آن استفاده کرد.

با کنسول توسعه‌دهنده، می‌توان بینشی در مورد نحوه تعامل جاوا اسکریپت با سایر فناوری‌های وب کسب کرد و می‌توان اشکال‌زدایی و بهینه‌سازی برنامه‌های کاربردی وب یا جستجوی آسیب‌پذیری‌ها را با آن آموخت. با استفاده از قابلیت‌های کنسول توسعه‌دهنده، می‌توان برنامه‌های تحت وب قوی‌تری توسعه داد و امنیت آن‌ها را در برابر تهدیدات سایبری حفظ کرد.

شناسایی آسیب‌ پذیری‌ ها در جاوا اسکریپت سیاه چگونه انجام می شود؟

شناسایی آسیب‌پذیری‌های امنیتی در برنامه‌های کاربردی وب، گام مهمی در تضمین محافظت از آن‌ها در برابر حملات مخرب محسوب می‌شود. یکی از راه‌های شناسایی این آسیب‌پذیری‌ها، استفاده از ابزارهای آزمایش امنیتی مانند «Burp Suite» و «OWASP ZAP» است.

در این بخش از مطلب آموزش جاوا اسکریپت سیاه، تمرکز روی ابزار OWASP ZAP قرار دارد که نوعی اسکنر امنیتی برنامه وب اپن سورس محبوب به حساب می‌آید که به وسیله جامعه OWASP توسعه‌یافته و صفحه اصلی این برنامه به صورت زیر است:

OWASP ZAP به شناسایی مشکلات امنیتی بالقوه در برنامه‌های کاربردی وب کمک می‌کند و توصیه‌هایی برای رفع مشکلات ارائه می‌دهد. برای شروع استفاده از OWASP ZAP، می‌توان آن را از وب‌سایت رسمی دانلود [+] و مراحل زیر را دنبال کرد:

1. اگر از «Kali Linux» استفاده می‌شود، ابتدا باید با استفاده از sudo apt update %% sudo apt upgrade

    در ترمینال، مطمئن شد که OWASP ZAP به روز شده است.

2. OWASP ZAP را باید از منوی برنامه یا با تایپ عبارت «Zaproxy» در ترمینال راه‌اندازی و تنظیمات لازم مانند URL هدف و تنظیمات پراکسی را پیکربندی کرد.
3. هنگامی که OWASP ZAP پیکربندی شد، می‌توان با اجرای اسکن و تجزیه‌وتحلیل نتایج، آسیب‌پذیری‌های جاوا اسکریپت برنامه وب را شناسایی کرد.

زمانی که OWASP ZAP تنظیم و پیکربندی شد، می‌توان با انتخاب دکمه «Attack» یا انتخاب گزینه «Spider» از منوی «Tools» اسکن را آغاز کرد. این کار فرآیند «کرال کردن یا خزش» (Crawl کردن) در برنامه وب برای یافتن هرگونه آسیب‌پذیری امنیتی احتمالی را آغاز می‌کند. این ویژگی برای شناسایی آسیب‌پذیری‌هایی مانند «اسکریپت‌نویسی بین سایتی» (Cross-Site Scripting | XSS) و جعل «درخواست بین‌سایتی» (Cross-Site Request Forgery |CSRF) حیاتی است که معمولاً به وسیله مهاجمان مورد سوء‌استفاده قرار می‌گیرند. با انجام اسکن‌هایی مانند این، می‌توان به طور بالقوه خطرات احتمالی را در برنامه‌های کاربردی وب شناسایی کرد و آن‌ها را کاهش داد.

پس از پایان اسکن، OWASP ZAP فهرستی از آسیب‌پذیری‌های کشف شده در تب «Alerts» را ایجاد می‌کند. هر هشدار، خلاصه‌ای از نوع آسیب‌پذیری شناسایی شده، شدت آن و توضیح مختصری را ارائه می‌دهد. پرچم‌های رنگی راه آسانی برای درک شدت آسیب‌پذیری هر نوع هشداری را ارائه می‌دهند. با کلیک بر روی هر هشدار، می‌توان جزئیات بیشتری را مشاهده کرد و عمیق‌تر آسیب‌پذیری را مورد بررسی قرار داد. در زیر ما برای URL تستی هشدارهای زیر را دریافت کرده‌ایم.

اگر کاربر بخواهد آسیب‌پذیری‌های شناسایی شده را با جزئیات بیشتری بررسی کند، می‌تواند برگه‌های «درخواست» (Request) و «پاسخ» (Response) را بررسی کرده تا درخواست‌های HTTP و پاسخ‌های مرتبط با هر آسیب‌پذیری را مشاهده کند.

این اطلاعات به کاربر کمک خواهد کرد مکان دقیق آسیب‌پذیری را در کد برنامه وب مربوطه پیدا کند. به این ترتیب، می‌توان نحوه عملکرد آسیب‌پذیری را درک کرد و اقدامات مناسبی را برای رفع آن انجام داد. همچنین در پنل خروجی برای هر آسیب‌پذیری نیز اطلاعات کاملی ارائه خواهد شد.

با دنبال کردن مراحل ذکر شده در بالا، می‌توان از OWASP ZAP برای شناسایی آسیب‌پذیری‌های بالقوه جاوا اسکریپت سیاه در برنامه‌های وب استفاده کرد. این فرآیند اغلب شامل بررسی رویدادهای جالبی مانند درخواست‌های «POST» و تجزیه‌وتحلیل کدها برای درک نحوه تعامل بخش‌های مختلف برنامه با یکدیگر است. توجه به این نکته مهم است که OWASP ZAP تنها یکی از ابزارهای موجود برای کمک به شناسایی آسیب‌پذیری‌ها در برنامه‌های وب به حساب می‌آید. ابزارهای متعدد دیگری نیز برای تست نفوذ موجود هستند که هر کدام نقاط قوت و ضعف خود را دارند.

بهره برداری از آسیب‌پذیری های امنیتی

در این بخش از آموزش جاوا اسکریپت سیاه، ۲ آسیب‌پذیری رایج در برنامه‌های کاربردی وب یعنی «Reflected XSS | Cross-Site Scripting» و «CSRF | Cross-Site Request Forgery» بررسی خواهند شد. برای نشان دادن فرآیند بهره‌برداری، از «Damn Vulnerable Web Application | DVWA» استفاده شده است که نوعی برنامه وب آسیب‌پذیر برای اهداف یادگیری طراحی شده به حساب می‌آید.

تفاوت اصلی بین Reflected XSS و CSRF این است که چگونه حمله انجام می‌شود و آیا کاربر قبلاً در برنامه وب احراز هویت شده است یا خیر. Reflected XSS نوعی «Payload» غیر پایدار است که به وسیله کد جاوا اسکریپت تزریق شده به مرورگر از طریق URL تحویل داده می‌شود و از آسیب‌پذیری برنامه وب در اجرای اسکریپت‌های ارسال شده به وسیله کاربر سوء استفاده می‌کند. این روش نیازی به احراز هویت قربانی در برنامه تحت وب ندارد، البته اگر احراز هویت اتفاق بیوفتد، می‌تواند منجر به سوءاستفاده‌های سطح بالاتری هم بشود.

از سوی دیگر، CSRF معمولاً شامل Payload ناپایدار است که به وسیله فایل HTML ساخته شده با درخواستی جعلی به وسیله URL تحویل داده می‌شود. این آسیب‌پذیری کمتر رایج است. CSRF از اعتمادی که برنامه وب به مرورگر احراز هویت قربانی دارد سوء استفاده می‌کند تا امکان ارسال درخواست جعلی را به عنوان اقدامی قابل‌اعتماد فراهم کند. این سناریو برای حمله موفقیت‌آمیز به قربانی متکی خواهد بود که قبلاً این فرد قربانی در آن برنامه وب احراز هویت کرده است.

حمله XSS با جاوا اسکریپت سیاه

«Reflected Cross-Site Scripting (XSS)» نوعی آسیب‌پذیری به حساب می‌آید که از سال ١٣٦٨ (۱۹۹۰ میلادی) وجود داشته است و همچنان نوعی مشکل رایج امنیتی برنامه‌های وب محسوب می‌شود. همان‌طور که گفته شد، این آسیب‌پذیری زمانی اتفاق می‌افتد که مهاجم کد جاوا اسکریپت مخرب را به وب‌سایتی تزریق می‌کند و تاثیر آن کد در مرورگر کاربر منعکس می‌شود. این کار می‌تواند منجر به دسترسی غیرمجاز به داده‌های حساس و سایر فعالیت‌های مخرب شود.

حملات XSS زمانی اتفاق می‌افتند که یک برنامه وب به درستی ورودی کاربر را پاک‌سازی یا فیلتر نمی‌کند. این بدان معنی است که برنامه اجازه می‌دهد تا دستور script

 یا %3script%3e

 (URL رمزگذاری شده) را از ورودی کاربر در زمانی که انتظار نمی‌رود اجرا کند و آن را برای حمله XSS باز می‌گذارد. مهاجم می‌تواند از «Reflected XSS» برای سرقت داده‌های حساس مانند اعتبارنامه ورود و اطلاعات کوکی جلسه استفاده کند. پس از به دست آوردن آن، فرد مهاجم می‌تواند از اطلاعات برای اهداف مخرب بهره ببرد.

در این بخش از آموزش جاوا اسکریپت سیاه، مراحل مربوط به آزمایش آسیب‌پذیری XSS، راه‌اندازی «سرور شنود» (Listen Server) و بهره‌برداری از آسیب‌پذیری با حمله‌ای چند مرحله‌ای بررسی خواهد شد. این کار درک بهتری را از نحوه استفاده مهاجمان از آسیب‌پذیری‌های XSS در برنامه‌های تحت وب به کاربران می‌دهد. این حمله در سه مرحله زیر انجام خواهد شد:

1. آزمایش دستی برای آسیب‌پذیری
2. راه اندازی برای حمله
3. بهره برداری از XSS منعکس شده یا Reflected XSS

١. آزمایش دستی XSS

یکی از راه‌های تشخیص آسیب‌پذیری برنامه وب، آزمایش دستی آن است. روش دستی شامل استفاده از جاوا اسکریپت سیاه در فیلدهای ورودی یا فرم برای دیدن اینکه آیا می‌تواند دستورات را اجرا کند یا خیر خواهد بود. با این حال، بسیاری از تکنیک‌های آزمایش دستی دیگر در دسترس هستند، از جمله آن‌هایی که در برگه تقلب «XSS Filter Evasion» به وسیله شرکت OWASP فهرست شده است. مراحل آزمایش دستی در ادامه خواهند آمد.

١. راه‌ اندازی DVWA

مراحل راه اندازی DVWA برای آزمایش جاوا اسکریپت سیاه به صورت زیر است:

1. دانلود DVWA از مخزن «GitHub» [+] یا استفاده از دستور sudo apt install dvwa

    در ترمینال کالی لینوکس

2. راه‌اندازی وب سرور میزبان
3. دسترسی به برنامه به وسیله آدرس http://localhost/dvwa

    در مرورگر

4. ورود به سایت با اطلاعات کاربری از قبل موجود
5. رفتن به بخش «Reflected XSS» از زیر دسته «XSS» در برنامه

٢. شناسایی آسیب‌پذیری جاوا اسکریپت سیاه

مرحله دوم در بهره‌برداری از Reflected XSS شناسایی آسیب‌پذیری است. این شامل مشاهده فیلدهای ورودی کاربر و بررسی کد منبع صفحه وب آسیب‌پذیر در کنسول توسعه دهنده خواهد بود. با انجام این کار، می‌توان فیلدهای ورودی را پیدا کرد که امکان دارد مستعد حمله Reflected XSS باشند.

در مورد DVWA، می‌توان فیلد ورودی را در بخش «Reflected XSS» در دسته «XSS» شناسایی کرد. هنگامی که فیلد ورودی پیدا شد، می‌توان فرم را با نام کاربری خود پر کرد و دکمه «Submit» را زد تا پاسخ مورد انتظار نمایان شود. این عمل به کاربر اطمینان می‌دهد که فیلد ورودی آسیب‌پذیر را به درستی شناسایی کرده است.

٣. ساخت اسکریپت مخرب

در قدم سوم نوبت به ایجاد اسکریپتی با هدف انجام حمله XSS فرا می‌رسد. این کد جاوا اسکریپت سیاه که به عنوان Payload شناخته می‌شود باید به فیلد ورودی شناسایی شده از قبل تزریق شود. برای مثال اسکریپ زیر نوعی قطعه کد جاوا اسکریپت سیاه برای انجام حمله XSS است.

Example payload: 

۴. بهره برداری از آسیب‌پذیری جاوا اسکریپت سیاه

در این مرحله باید اسکریپت ایجاد شده را در قسمت آسیب‌پذیر شناسایی شده مانند تصویر زیر وارد کرد:

هشدار مربوطه پس از اینکه اسکریپت در فیلد مربوطه وارد و ارسال شد، نمایش داده می‌شود و تایید خواهد شد که آسیب‌پذیری وجود دارد. تصویر زیر بیانگر این موضوع است.

مثال فوق نمونه‌ای اساسی و ساده از شناسایی آسیب‌پذیری در فیلدهای ورودی و فرم‌ها بود که می‌توان با جاوا اسکریپت سیاه از آن سوء استفاده کرد. با این حال اجرای یک اعلامیه یا پاپ‌آپ مانند مثال فوق چندان تهدید جدی به حساب نمی‌آید. در مرحله بعد، به شرح روش پیشرفته‌تری از جاوا اسکریپت سیاه برای انجام حمله XSS پرداخته می‌شود که مجرمان سایبری از این روش برای آسیب زدن به وب‌سایت‌ها استفاده می‌کنند.

٢. راه اندازی حمله XSS با جاوا اسکریپت سیاه

در این مرحله، روش حمله پیشرفته‌تری ارائه می‌شود که برای انجام این کار به راه‌اندازی سرور شنود با استفاده از «نود جی اس» (Node.js) و «Express» نیاز است. این سرور داده‌های ارسال شده به وسیله Payload ،‌XSS را که در مراحل بعد از آن استفاده می‌شود، ضبط می‌کند. این مرحله بررسی اجمالی و سریع عناصر اصلی سرور شنود را پوشش می‌دهد تا به خوانندگان این مطلب در درک نحوه گرفتن ورودی کاربر کمک کند.

١. نصب نود جی اس

قدم اول برای انجام حمله پیشرفته‌تر با XSS، نصب «نود جی اس» (Node.Js) است. برای این کار باید برنامه رسمی آن را از سایت اصلی نود جی اس [+] دانلود کرد. همچنین بعد از نصب، برای اطمیان از درستی فرایند نصب باید دستور node -v

 در ترمینال برای نشان دادن نسخه نصب شده آن وارد شود.

٢. ساخت پروژه نود جی اس

در این مرحله و پس از نصب نود جی اس باید یک پروژه نود جی اس ایجاد شود که برای انجام این کار لازم است مراحل زیر را دنبال کنیم:

1. باز کردن ترمینال یا خط فرمان
2. رفتن به دایرکتوری مد نظر پروژه
3. اجرای دستور mkdir listening-server

    برای ساخت پوشه پروژه

4. رفتن به پوشه ساخته شده با دستور cd listening-server
5. مقداردهی اولیه و راه‌اندازی پروژه Node.js جدید با تنظیمات پیش‌فرض با دستور npm init -y

نکته: مراحل ساخت پروژه در ویندوز و لینوکس فرایندی مشابه است.

٣. نصب Express

قدم بعدی در این حمله XSS با جاوا اسکریپت سیاه، نصب فریمورک Express با وارد کردن دستور زیر در ترمینال است.

npm install

۴. ساخت اسکریپت سرور

در این مرحله باید فایلی با پسوند js

 ایجاد شود که در اینجا فایل نام برده، server.js

 نام دارد. این فایل باید در دایرکتوری یا پوشه سرور شنود قرار بگیرد. فایل server.js

حاوی کدهای زیر است:

const express = require('express');
const app = express();
const port = 3000;

app.get('/log', (req, res) => {
  const receivedData = req.query.data;
  if (receivedData) {
    console.log(`URL received: ${req.protocol}://${req.get('host')}${req.originalUrl}`);
    console.log(`Data received: ${receivedData}`);
  } else {
    console.log('URL received, but data is undefined');
  }
  res.sendStatus(200);
});

app.listen(port, () => {
  console.log(`Listening server running at http://localhost:${port}`);
});

کد بالا نوعی پروژه ساده Node.js است که با استفاده از برنامه Express نوعی سرور شنود راه اندازی می‌کند. سرور به درخواست GET

 در پورت 3000

 گوش می‌دهد و داده‌های ارسال شده به وسیله پارامتر پرس‌وجو در URL را ضبط می‌کند. کد بالا ماژول express

 برای ایجاد نمونه برنامه استفاده کرده و سپس شماره پورت را برای سرور تنظیم می‌کند تا با استفاده از دستور const port = 3000

 به آن گوش دهد. هنگامی که سرور با استفاده از app.listen (port)

 شروع به کار کرد، منتظر درخواست‌های دریافتی می‌ماند.

مسیر /log

 برای گرفتن داده‌های ارسال شده در پارامتر query

 درخواست ورودی تنظیم شده است. اگر داده دریافت شود، همراه با URL کامل (با داده‌ها به عنوان پرس‌وجو) ثبت می‌شود. همچنین در کدهای بالا، تابع console.log()‎

 برای چاپ این داده‌ها در کنسول استفاده خواهد شد. اگر هیچ داده‌ای پیدا نشد یا خطایی رخ داد، کنسول پیامی را ثبت می‌کند که داده‌ها تعریف نشده‌اند. به طور کلی، کدهای فوق راهی ساده برای گوش دادن به درخواست‌های دریافتی و گرفتن داده‌ها از آن‌ها ارائه می‌دهد که برای آزمایش اثربخشی حملات XSS مفید است.

٥. اجرای سرور شنود

کد مرحله قبل را باید با دستور زیر در ترمینال اجرا کرد:

node server.js

خروجی دستور بالا به صورت زیر است:

در بخش بالا با موفقیت نوعی سرور گوش دادن با استفاده از Node.js و Express راه‌اندازی شد تا داده‌های ارسال شده را به وسیله XSS payload

 ضبط کند. اکنون که سرور در http://localhost:3000

 راه‌اندازی و اجرا شده است، آماده دریافت و ثبت داده‌ها از Payload خواهد بود.

برای آزمایش اینکه آیا همه‌چیز به درستی کار می‌کند، می‌توان XSS payload

را در صفحات آسیب‌پذیر اجرا و داده‌های دریافتی را در گزارش‌های سرور مشاهده کرد. کدهای بالا را می‌توان به راحتی تغییر داد تا انواع دیگر اطلاعات مانند کوکی‌ها، URL‌ها و داده‌های حساس دیگر را بسته به نیاز خود دریافت کنیم.

بهره برداری از XSS منعکس شده

در این مرحله، تکنیک پیشرفته‌ای برای بهره‌برداری از آسیب‌پذیری Reflected XSS به‌منظور جذب ورودی حساس کاربر، مانند اعتبارنامه ورود و ارسال آن به سروری استفاده خواهد شد که توسط مهاجم کنترل می‌شود. برای نشان دادن این تکنیک، یک بار دیگر از DVWA استفاده شده است.

١. مراجعه به بخش Reflected XSS

برای دستیابی به بخش گفته شده باید مراحل زیر را دنبال کرد:

1. باز کردن DVWA در مرورگر وب با وارد کردن آدرس http://localhost/dvwa

    در آن

2. ورود به حساب کاربری از قبل ساخته شده یا ایجاد حساب کاربری جدید
3. مراجعه به زیر بخش Reflected XSS در زیر بخش XSS

٢. ساخت Payload

در این بخش از آموزش جاوا اسکریپت سیاه برای بهره‌برداری از Reflected XSS باید Payload ساخته شود. این Payload باید بتواند ورودی کاربر را بگیرد و آن را به سروری ارسال کند که به تازگی راه‌اندازی شده است. پس از اجرا، این Payload قادر خواهد بود اطلاعات وارد شده به وسیله کاربر را در فیلدهای فرمی خاص بازیابی کرده و به سرور شنود ارسال کند. سپس می‌توان از لاگ سرور به این داده‌ها دسترسی داشت. فایل Payload حاوی کدهای زیر است:

کد جاوا اسکریپت سیاه بالا شامل تابعی به نام sendData()‎

 می‌شود که مسئول ارسال داده‌های گرفته شده به سرور شنودی است که قبلاً تنظیم شده بود. علاوه بر این، در کد فوق، نوعی شنونده رویداد به دکمه Submit

 اضافه شده است تا فرم ارسالی متوقف شده و ورودی کاربر را ضبط کند. Payload بالا داده‌ها را به سرور شنودی ارسال می‌کند که به صورت محلی روی پورت 3000

 اجرا می‌شود.

٣: سوم استفاده از آسیب‌پذیری با جاوا اسکریپت سیاه

در این مرحله باید به بخش Reflected XSS در DVWA بازگشت و برای اطمینان از وجود آسیب‌پذیری، «سطح امنیتی» (Security Level) را روی سطح «پایین» (Low) در DVWA تنظیم کرد. سپس باید Payload در بخش What’s your name

 شود.

حال باید روی دکمه Submit کلیک کنیم. URL موجود در نوار آدرس اکنون اسکریپت حاوی Payload به عنوان نوعی پارامتر پرس و جو خواهد بود. این آدرسی است که باید برای قربانی ارسال شود.

۴. تحویل Payload

اکنون URL با Payload دستکاری شده است. در گام بعدی تحویل آن به قربانی مورد نظر خواهد بود. این کار را می‌توان به وسیله تکنیک‌های مختلف مهندسی اجتماعی، مانند ارسال ایمیل فیشینگ یا به عنوانی پیامی در رسانه‌های اجتماعی و غیره انجام داد. پیام باید به‌گونه‌ای ساخته شود که قربانی وسوسه شود تا روی پیوند حاوی URL کلیک کند.

هنگامی که قربانی روی پیوند کلیک می‌کند، Payload جاوا اسکریپت سیاه اجرا می‌شود و به مهاجم این امکان را می‌دهد که ورودی کاربر را رهگیری و ضبط کرده و آن را به سرور مشخص شده ارسال کند.

٥. دسترسی به ورودی ضبط شده

پس از تحویل Payload به قربانی و اجرای آن، ورودی کاربر ضبط شده به سرور لاگ مورد نظر ارسال می‌شود. برای دسترسی به داده‌های گرفته شده، باید گزارش‌های موجود در سرور را بررسی کرد. داده‌ها به عنوان پارامتر پرس‌وجو به URL اضافه می‌شوند.

این حمله نشان می‌دهد که چگونه می‌توان از آسیب‌پذیری Reflected XSS برای گرفتن ورودی حساس کاربر، مانند اعتبارنامه ورود و ارسال آن به سروری تحت کنترل مهاجم استفاده کرد. اگرچه این Payload خاص، مستقیماً کوکی‌های جلسه را نمی‌گیرد، اما همچنان می‌تواند داده‌های کاربر را به خطر بیندازد و منجر به دسترسی غیر مجاز شود.

حمله CSRF با جاوا اسکریپت سیاه

در دنیای امنیت، برنامه‌های کاربردی وب، «جعل درخواست بین سایتی» (Cross-Site Request Forgery) یا به اختصارCSRF، نوعی آسیب‌پذیری جدی است که می‌تواند به وسیله مهاجمان برای فریب کاربران برای انجام اقدامات ناخواسته در وب‌سایت‌ها مورد سوء استفاده قرار گیرد. این نوع درخواست می‌تواند زمانی اتفاق بیفتد که کاربری قبلاً در سایت احراز هویت شده باشد و مهاجم از تکنیک‌های مهندسی اجتماعی برای دست‌کاری اطلاعات هویتی کاربر برای انجام اقدامات بدون اطلاع او استفاده کند.

برای درک جزئیات CSRF، در این بخش از آموزش جاوا اسکریپت سیاه با راه‌اندازی DVWA روی دستگاه یا سرور محلی، نوعی حمله به DVWA انجام خواهد شد.

١. ورود به DVWA

قدم اول برای انجام این حمله جاوا اسکریپت سیاه ورود به برنامه DVWA است. فرایند ورود به برنامه مانند بالا خواهد بود با این تفاوت که این بار باید تب «DVWA Security» انتخاب شود و همچنین سطح امنیتی را روی «پایین» (Low) یا «متوسط» (Medium) تنظیم کرد. حال برای اعمال تغییرات باید روی دکمه «Submit» کلیک کنیم.

٢. دسترسی به فرم آسیب پذیر CSRF

قدم دوم، دسترسی به فرم آسیب‌پذیر CSRF است که در منوی سمت چپ، روی گزینه CSRF قرار دارد. برای این هدف باید صفحه را بررسی و فرمی را پیدا کرد که کاربران می‌توانند رمز عبور خود را تغییر دهند.

نکته: با استفاده از گزینه «Test Credentials» می‌توان مطمئن شد که نام کاربری و رمز عبور کار می‌کند.

٣. تجزیه و تحلیل فرم آسیب پذیر

برای تجزیه و تحلیل فرم آسیب‌پذیر، روی عنصر فرم (به عنوان مثال فیلد ورودی رمز عبور یا دکمه «Change») راست کلیک کرده و باید «Inspect» را از منو انتخاب کرد. با این کار ابزارهای توسعه‌دهنده مرورگر با کد HTML مربوطه که قبلاً برجسته شده بود باز می‌شود. حال تگ form

 را باید در کد HTML پیدا کرد تا اطلاعات لازم مانند عملکرد فرم، متد و نام فیلدهای ورودی برای ایجاد سوء استفاده CSRF جمع آوری شوند.

بیایید نگاهی دقیق‌تر به قسمت‌های مختلف فرم و معنای آن‌ها بیندازیم که این قسمت‌ها به صورت موارد زیر هستند:

• Form action: ویژگی action

   در تگ form

  نشانی اینترنتی را مشخص می‌کند که داده‌های ارسالی را دریافت خواهد کرد. در مثالی که از آن استفاده شده، action

  روی #

   تنظیم شده است، به این معنی که داده‌ها به همان صفحه ارسال می‌شوند. با این حال، هنگام اجرای واقعی اکسپلویت، باید #

  را با URL واقعی صفحه آسیب‌پذیر جایگزین کرد.

• «Form method»: ویژگی method

   نحوه ارسال داده‌ها به سرور را تعیین می‌کند. در این حالت، method

   بر روی GET

   تنظیم می‌شود، به این معنی که داده‌ها به‌عنوان پارامترهای پرس‌وجو به URL اضافه می‌شوند. با این حال، هنگام اجرای اکسپلویت، باید method

  را به POST

   تغییر داد. این تغییر مهم است، زیرا درخواست‌های POST

   داده‌ها را در بدنه درخواست ارسال می‌کنند که تشخیص سوءاستفاده در تاریخچه مرورگر، گزارش‌ها و نشانک‌ها را سخت‌تر از درخواست‌های GET

  می‌کند.

• «Input Field Names»: این‌ها ویژگی‌های نام، فیلدهای ورودی مختلف در فرم هستند. در مثالی که استفاده شده است، ۳ فیلد ورودی با نام‌های « password_new

   »، « password_conf

   » و « Change

   » وجود دارد. این نام‌ها به زودی هنگام ایجاد CSRF Paylod استفاده خواهند شد.

برای ایجاد Paylod، باید به این نکته توجه داشت که متد را از GET

به POST

تغییر داد. این به پنهان کردن حمله کمک می‌کند، زیرا داده‌ها به جای URL در «بدنه» ( body

 ) درخواست ارسال می‌شوند.

۴. ساخت پیلود CSRF

در این قدم باید فایل Paylod ساخته و آماده شود. در زیر فایلی به نام exploit_csrf.html

 وجود دارد که برای این هدف نوشته شده و حاوی کدهای زیر است:

IP_Address

 را با آدرس IP

یا دامنه‌ای که DVWA در آن اجرا می‌شود باید جایگزین می‌کنیم. در این مثال، روی 127.0.0.1:420001

 تنظیم شده است.

کد HTML بالا برای سوء استفاده از آسیب‌پذیری Cross-Site Request Forgery

 طراحی شده است. این کد از فرمی با شناسه exploit-form

 و تابع subject()

 جاوا اسکریپت برای ارسال فرم به عنوان درخواست POST

 استفاده می‌کند. فیلدهای فرم، کد گرفته شده از کنسول توسعه دهنده را تکرار می‌کنند و فرم با داده‌های مورد نیاز از قبل پر شده است. عمل onload

 تنظیم شده تا تابع submitForm()‎

 را فراخوانی و اطمینان حاصل کند که فرم به طور خودکار بدون انتظار برای تعامل کاربر ارسال می‌شود.

۵. میزبانی CSRF Payload

برای میزبانی از CSRF Payload، از «Apache2»، وب سروری استفاده خواهد شد که از قبل روی کالی لینوکس نصب شده است. برای این کار باید ابتدا فایل HTML ساخته شده را در مکانی با مجوزهای مناسب ذخیره کرد. برای مثال در مسیر /var/www/html/exploit_csrf.html

 در داخل کالی لینوکس می‌توان این کار را انجام داد.

سپس باید ترمینال جدیدی را باز و دستورات زیر را برای راه‌اندازی وب سرور Apache2 در آن وارد کرد.

sudo systemctl start apache2

sudo systemctl enable apache2

حال برای تأیید اینکه وب سرور آپاچی در حال اجرا است یا نه، باید به http://localhost

 در مرورگر وب خود سر زد. با این کار باید صفحه پیش‌فرض آپاچی را مشاهده کرد.

برای سوء استفاده از آسیب‌پذیری جعل درخواست متقابل (CSRF)، Payload باید روی وب سرور میزبانی شود. برای انجام این کار، پوشه ریشه وب (معمولاً در /var/www/html/

 ) را باید پیدا و فایل HTML Payload CSRF را ذخیره کرد (به عنوان مثال exploit_csrf.html

 ). برای انجام این کار به دسترسی روت یا ریشه در لینوکس نیاز است.

پس از ذخیره شدن فایل، با اجرای دستور sudo chmod 644 /var/www/html/exploit_csrf.html

 مجوزهای مناسب را برای آن تنظیم خواهد شد. اکنون با باز کردن مرورگر وب رفتن به آدرس http://localhost/exploit_csrf.html

 به Payload دسترسی پیدا خواهد شد. این URL را می‌توان با قربانی (در همان شبکه) به اشتراک گذاشت یا برای اهداف آزمایشی استفاده کرد.

نکته: اگر خواسته شود برای مقاصد آزمایشی، Payload را برای کامپیوترهای خارج از شبکه محلی در دسترس قرار دهیم، می‌توان آن را روی دستگاه راه دور میزبانی یا از ارسال پورت با آدرس IP عمومی خود استفاده کرد. از طرف دیگر، می‌توان از نوعی سرویس «Dynamic DNS» بهره برد که برای ایجاد نام دامنه ثابت استفاده می‌شود که به آدرس IP پویا اشاره می‌کند.

۶. سوء استفاده از آسیب‌پذیری CSRF

در این قدم از آموزش جاوا اسکریپت سیاه با CSRF نوبت به مرحله سوء استفاده از CSRF است. برای این هدف می‌توان با ایجاد یک صفحه HTML مخرب، نوعی «حمله جعل درخواست بین سایتی» (CSRF) را راه‌اندازی کرد. برای این منظور ابتدا باید هدف آسیب‌پذیر را پیدا کنیم. می‌توان از DVWA برای تمرین استفاده کرد و در مرحله بعد، فرم HTML با Payload مخرب خود را ایجاد کنیم.

این Payload شامل URL هدف و پارامترهایی است که باید تغییر کنند. پس از ساخت فرم، باید URL را با قربانی به اشتراک گذاشت. هنگامی که قربانی URL را باز می‌کند، فرم به صورت خودکار ارسال می‌شود، حمله CSRF را آغاز می‌کند و رمز عبور قربانی را به مقدار «Hacked» در پلت فرم DVWA تغییر می‌دهد. با باز کردن منوی «Inspector» و مشاهده فعالیت شبکه می‌توان این موضوع را تائید کرد.

حال اگر با همان روش «Test Credentials» رمز عبور را آزمایش کنیم، این بار کار نخواهد کرد.

نکته: جعل درخواست متقابل سایت (CSRF) نوعی حمله مخرب است که کاربران را فریب می‌دهد تا در حین احراز هویت، اقدامات ناخواسته‌ای روی برنامه‌های وب را انجام دهند. پیامدهای چنین حملاتی می‌تواند شدید باشد، از تراکنش‌های مالی غیرمجاز گرفته تا هک حساب و نشت داده‌ها را می‌توان با این روش انجام داد.

برای محافظت، اجرای اقدامات امنیتی مناسب، مانند استفاده از «توکن‌های ضد درخواست بین سایتی» (Anti-CSRF Tokens)، مدیریت صحیح جلسه و ویژگی «SameSite» برای کوکی‌ها بسیار مهم است. انجام اقدامات احتیاطی لازم می‌تواند خطر قربانی شدن حمله CSRF را به میزان قابل توجهی کاهش دهد.

حمله Deadly Duo در جاوا اسکریپت سیاه

در دو بخش قبل حملات XSS و CSRF امتحان شدند. روش دیگری که در جاوا اسکریپت سیاه برای انجام حملات مخرب استفاده می‌شود، روشی است به نام «The Deadly Duo» است که از ترکیب دو روش حمله قبلی ساخته خواهد شد.

هنگامی که XSS و CSRF با هم ترکیب می‌شوند، حفره‌ای برای مهاجمان ایجاد می‌کنند تا اقدامات امنیتی برنامه‌های وب را دور بزنند و در حین انجام اقدامات غیرمجاز، داده‌های حساس کاربر را سرقت کنند. این حمله بسیار نگران کننده است، زیرا CSRF از اعتماد کاربران به یک وب‌سایت برای اجرای اهداف مخرب خود سوء استفاده می‌کند، در حالی که XSS کد مضر را به وب‌سایت تزریق کرده تا حمله را اجرا کند.

ترکیب این دو حمله به ویژه زمانی قوی است که برنامه وب هدفمند از اقدامات ضد CSRF مانند کوکی‌های SameSite استفاده می‌کند. همچنین می‌تواند در برابر کاربران با امتیاز بالا مانند مدیران یا مدیران اجرایی مؤثرتر باشد.

برای از بین بردن این حمله، باید به محیط تمرینی مانند «DVWA ،«WebGoat یا محیط دیگری دسترسی داشت. همچنین باید نوعی از یک آسیب‌پذیری XSS را در وب‌سایتی که هدف قرار شده است پیدا کرد که در بخش‌های بالا در این آموزش جاوا اسکریپت سیاه به آن پرداخته شد. با ترکیب XSS و CSRF، مهاجمان می‌توانند اقدامات ضد CSRF را دور بزنند، داده‌های حساس کاربر را سرقت کنند و اقدامات غیرمجاز را انجام دهند. برای انجام این حمله باید مراحلی که در ادامه خواهند آمد را در پیش گرفت.

١. ساخت فایل HTML با CSRF Payload

برای این کار باید ویرایشگر متن را باز کرده و فایل جدیدی به نام xss_csrf.html

 ایجاد کرد و کدهای زیر را در آن قرار دارد.

IP_Address

 باید با URL واقعی DVWA یا محیط آزمایشی جایگزین شود.

٢. میزبانی فایل HTML در سرور

این مرحله شامل فرآیندی مشابه مراحلی است که قبلاً در گام‌های روش CSRF طی شدند.

٣. تزریق XSS Payload به DVWA

حال در این مرحله باید به برگه Reflected XSS در DVWA بازگشت. همچنین باید کنسول توسعه‌دهنده برای این مرحله باز شود و روت تب یا بخش Network قرار بگیرد.

سپس می‌توان با استفاده از نوعی iframe

 درون خطی که مربوط به XSS Payload است، Payload را تزریق کرد:

. 

آدرس IP_Address

 را باید با آدرسی که در فایل xss_csrf.html

 میزبانی شده است، جایگزین کرد.

وقتی روی دکمه «Submit» کلیک صورت گیرد، دو اتفاق رخ می‌دهد. در ابتدا، در تب «Network» کنسول توسعه دهنده، می‌توان فایل HTML را با Payload CSRF در حال فراخوانی و اجرا در XSS مشاهده کرد. ثانیاً، URL صفحه اکنون حاوی اسکریپت تزریقی iframe

است که می‌تواند کپی شده و برای قربانی احتمالی ارسال شود.

۴. سوء استفاده از آسیب پذیری XSS به CSRF

در این مرحله از آموزش جاوا اسکریپت سیاه از آسیب‌پذیری XSS به CSRF برای دسترسی به حساب قربانی استفاده شده است. برای این هدف، URL با قربانی به اشتراک گذاشته خواهد شد که شامل iframe

درون‌خطی جاوا اسکریپت است. این iframe

نوعی فایل فرم HTML دستکاری شده را ارائه می‌دهد. برای تمرین، می‌توان از جلسه DVWA خود به عنوان قربانی استفاده کرد.

هنگامی که URL باز شود، iframe

از فرم ساخته شده عبور می‌کند و به صورت خودکار ارسال می‌شود. همچنین iframe

حمله CSRF را آغاز می‌کند و رمز عبور قربانی را به pwned

 در پلت فرم DVWA تغییر می‌دهد. سپس می‌توان منوی Inspector را باز کرده و فعالیت شبکه را برای تائید حمله مشاهده کرد.

۵. تائید حمله

تائید حملات موفقیت‌آمیز می‌تواند مشکل باشد، اما چند روش ساده برای تائید آن‌ها وجود دارد. برای مثال در مورد تائید حمله به رمزهای عبور، ساده‌ترین روش این است که به صورت دوره‌ای با اعتبارنامه‌های جدید اقدام به ورود به سیستم کرد. این کار به هکر کمک می‌کند تا تشخیص دهد که آیا حمله موفق بوده است یا خیر. باید به این نکته توجه داشت که تأیید حمله بسته به نوع حمله متفاوت است.

سخن پایانی

جاوا اسکریپت نقش کلیدی در هک اخلاقی و تست نفوذ برنامه‌های وب دارد. برای متخصصان امنیتی، داشتن درک کامل از جاوا اسکریپت مهم است، زیرا می‌تواند به آن‌ها کمک کند آسیب‌پذیری‌های رایج در برنامه‌های وب را شناسایی و از آن‌ها برای بهبود امنیت خود استفاده کنند. با استفاده از پلتفرم‌های آسیب‌پذیر مانند WebGoat و DVWA، هکرهای اخلاقی می‌توانند با خیال راحت مهارت‌های خود را تمرین و درباره امنیت برنامه‌های وب اطلاعات بیشتری را کسب کنند.

در این مطلب از مجله تم آف در رابطه با جاوا اسکریپت سیاه و ابعاد مختلف آن توضیحاتی کاربردی و عملی ارائه شد. همچنین انواع حملات و سناریوهای مختلف در رابطه با جاوا اسکریپت سیاه و تهدیدات و فرصت‌های آن بیان شد.