YouTube
Post from فكرة مبرمج & Programmer idea
🛡 استغلال ثغرة Clickjacking لهجوم DOM-based XSS 🧑💻 .. كيف يمكن للمهاجم استخدام ثغرة Clickjacking لإطلاق هجوم DOM-based XSS لفهم ذلك، سأشرح كلاً من Clickjack...
🛡 استغلال ثغرة Clickjacking لهجوم DOM-based XSS 🧑💻 ..
كيف يمكن للمهاجم استخدام ثغرة Clickjacking لإطلاق هجوم DOM-based XSS لفهم ذلك، سأشرح كلاً من Clickjacking و DOM-based XSS بشكل منفصل:
1️⃣ الـ Clickjacking :
هو نوع من الهجمات التي يُخدع فيها المستخدم للنقر على شيء مختلف عما يراه، يتم ذلك عادةً عن طريق وضع طبقة شفافة أو غير مرئية فوق صفحة ويب، فعندما يحاول المستخدم النقر على عنصر مرئي، فإنه ينقر في الواقع على عنصر مخفي أسفل الطبقة، مما يؤدي إلى تنفيذ إجراء غير مقصود.
2️⃣ الـ DOM-based XSS :
يحدث هذا النوع من الهجمات عندما يُعدّل كود JavaScript في صفحة ويب DOM (نموذج كائن المستند) بطريقة تسمح بتنفيذ كود خبيث. على عكس أنواع XSS الأخرى، لا يتضمن DOM-based XSS إرسال بيانات خبيثة إلى الخادم، بل يستغل ثغرات في الكود JavaScript الموجود في صفحة الويب نفسها.
💥 كيف يتم استخدام Clickjacking الهجوم DOM-based XSS؟
يمكن للمهاجم استخدام Clickjacking لخداع المستخدم للنقر على عنصر في صفحة ويب يُفعّل ثغرة DOM-based XSS، على سبيل المثال:
✅ إنشاء صفحة ويب خبيثة: ينشئ المهاجم صفحة ويب تحتوي على إطار iframe يضم الصفحة المُستهدفة المعرضة لـ DOM-based XSS.
✅ وضع طبقة شفافة: يضع المهاجم طبقة شفافة فوق الإطار iframe.
✅ إغراء المستخدم: يُغري المهاجم المستخدم بزيارة الصفحة الخبيثة والنقر على عنصر مرئي.
✅ تنفيذ النقر على عنصر مخفي: عندما ينقر المستخدم، فإنه ينقر في الواقع على عنصر مخفي في الصفحة المُستهدفة داخل الإطار iframe، مما يُفعّل ثغرة DOM-based XSS.
🔥 مثال:
لنفترض أن صفحة ويب تحتوي على كود JavaScript مثل هذا:
var search = document.location.hash.substring(1);
document.getElementById('result').innerHTML = search;
يأخذ هذا الكود قيمة الجزء الموجود بعد علامة # في عنوان URL ويُدخله في عنصر HTML مع المعرّف result، إذا قام المهاجم بإنشاء رابط مثل:
https://vulnerable.site#<img src=x onerror=alert(1)>
سيؤدي ذلك إلى تنفيذ كود JavaScript alert(1) في متصفح المستخدم.
الآن، يمكن للمهاجم استخدام Clickjacking لجعل المستخدم ينقر على هذا الرابط دون علمه، ينشئ المهاجم صفحة ويب تحتوي على إطار iframe يضم الصفحة المُستهدفة ويضع طبقة شفافة فوقها. عندما ينقر المستخدم على شيء في الصفحة الخبيثة، فإنه ينقر في الواقع على الرابط الخبيث في الصفحة المُستهدفة داخل الإطار iframe، مما يُفعّل ثغرة DOM-based XSS.
🛡 الحماية:
لمنع هذا النوع من الهجمات، يجب اتخاذ التدابير التالية:
1️⃣ حماية من Clickjacking: استخدام تقنيات مثل X-Frame-Options لمنع تضمين الصفحة في إطارات iframe من مواقع أخرى.
2️⃣ فحص المُدخلات: فحص جميع المُدخلات التي تُستخدم في تعديل DOM لمنع تنفيذ كود JavaScript خبيث.
3️⃣ استخدام Content Security Policy (CSP): استخدام CSP للتحكم في مصادر النصوص البرمجية التي يُسمح بتنفيذها في الصفحة.
#فكرة_مبرمج
http://youtube.com/post/UgkxSjc7xgZKqo9npkI2TX-bSsUubyvab_6S?si=YWtlSuf9KDQxydfh
كيف يمكن للمهاجم استخدام ثغرة Clickjacking لإطلاق هجوم DOM-based XSS لفهم ذلك، سأشرح كلاً من Clickjacking و DOM-based XSS بشكل منفصل:
1️⃣ الـ Clickjacking :
هو نوع من الهجمات التي يُخدع فيها المستخدم للنقر على شيء مختلف عما يراه، يتم ذلك عادةً عن طريق وضع طبقة شفافة أو غير مرئية فوق صفحة ويب، فعندما يحاول المستخدم النقر على عنصر مرئي، فإنه ينقر في الواقع على عنصر مخفي أسفل الطبقة، مما يؤدي إلى تنفيذ إجراء غير مقصود.
2️⃣ الـ DOM-based XSS :
يحدث هذا النوع من الهجمات عندما يُعدّل كود JavaScript في صفحة ويب DOM (نموذج كائن المستند) بطريقة تسمح بتنفيذ كود خبيث. على عكس أنواع XSS الأخرى، لا يتضمن DOM-based XSS إرسال بيانات خبيثة إلى الخادم، بل يستغل ثغرات في الكود JavaScript الموجود في صفحة الويب نفسها.
💥 كيف يتم استخدام Clickjacking الهجوم DOM-based XSS؟
يمكن للمهاجم استخدام Clickjacking لخداع المستخدم للنقر على عنصر في صفحة ويب يُفعّل ثغرة DOM-based XSS، على سبيل المثال:
✅ إنشاء صفحة ويب خبيثة: ينشئ المهاجم صفحة ويب تحتوي على إطار iframe يضم الصفحة المُستهدفة المعرضة لـ DOM-based XSS.
✅ وضع طبقة شفافة: يضع المهاجم طبقة شفافة فوق الإطار iframe.
✅ إغراء المستخدم: يُغري المهاجم المستخدم بزيارة الصفحة الخبيثة والنقر على عنصر مرئي.
✅ تنفيذ النقر على عنصر مخفي: عندما ينقر المستخدم، فإنه ينقر في الواقع على عنصر مخفي في الصفحة المُستهدفة داخل الإطار iframe، مما يُفعّل ثغرة DOM-based XSS.
🔥 مثال:
لنفترض أن صفحة ويب تحتوي على كود JavaScript مثل هذا:
var search = document.location.hash.substring(1);
document.getElementById('result').innerHTML = search;
يأخذ هذا الكود قيمة الجزء الموجود بعد علامة # في عنوان URL ويُدخله في عنصر HTML مع المعرّف result، إذا قام المهاجم بإنشاء رابط مثل:
https://vulnerable.site#<img src=x onerror=alert(1)>
سيؤدي ذلك إلى تنفيذ كود JavaScript alert(1) في متصفح المستخدم.
الآن، يمكن للمهاجم استخدام Clickjacking لجعل المستخدم ينقر على هذا الرابط دون علمه، ينشئ المهاجم صفحة ويب تحتوي على إطار iframe يضم الصفحة المُستهدفة ويضع طبقة شفافة فوقها. عندما ينقر المستخدم على شيء في الصفحة الخبيثة، فإنه ينقر في الواقع على الرابط الخبيث في الصفحة المُستهدفة داخل الإطار iframe، مما يُفعّل ثغرة DOM-based XSS.
🛡 الحماية:
لمنع هذا النوع من الهجمات، يجب اتخاذ التدابير التالية:
1️⃣ حماية من Clickjacking: استخدام تقنيات مثل X-Frame-Options لمنع تضمين الصفحة في إطارات iframe من مواقع أخرى.
2️⃣ فحص المُدخلات: فحص جميع المُدخلات التي تُستخدم في تعديل DOM لمنع تنفيذ كود JavaScript خبيث.
3️⃣ استخدام Content Security Policy (CSP): استخدام CSP للتحكم في مصادر النصوص البرمجية التي يُسمح بتنفيذها في الصفحة.
#فكرة_مبرمج
http://youtube.com/post/UgkxSjc7xgZKqo9npkI2TX-bSsUubyvab_6S?si=YWtlSuf9KDQxydfh
YouTube
ما هي Ruby on Rails؟ إطار عمل لتطوير تطبيقات الويب باحترافية"اكتشف Ruby on Rails #فكرة_مبرمج
اكتشف Ruby on Rails، إطار العمل الشهير المبني على لغة البرمجة Ruby، والذي يُعد الخيار الأمثل لتطوير تطبيقات الويب بسرعة وكفاءة. مع مبادئ مثل "لا تكرر نفسك" و...
ما هي Ruby on Rails؟ إطار عمل لتطوير تطبيقات الويب باحترافية"
اكتشف Ruby on Rails، إطار العمل الشهير المبني على لغة البرمجة Ruby، والذي يُعد الخيار الأمثل لتطوير تطبيقات الويب بسرعة وكفاءة. مع مبادئ مثل "لا تكرر نفسك" و"التوافق فوق التخصيص"، يمكنك بناء تطبيقات ديناميكية باستخدام أدوات جاهزة ومجتمع دعم قوي. تعرف على المزيد في هذا المنشور!
#فكرة_مبرمج
https://youtube.com/shorts/IA821p0Q5nk?si=9KNLoSMkckYfXQ-b
اكتشف Ruby on Rails، إطار العمل الشهير المبني على لغة البرمجة Ruby، والذي يُعد الخيار الأمثل لتطوير تطبيقات الويب بسرعة وكفاءة. مع مبادئ مثل "لا تكرر نفسك" و"التوافق فوق التخصيص"، يمكنك بناء تطبيقات ديناميكية باستخدام أدوات جاهزة ومجتمع دعم قوي. تعرف على المزيد في هذا المنشور!
#فكرة_مبرمج
https://youtube.com/shorts/IA821p0Q5nk?si=9KNLoSMkckYfXQ-b
🔥 جايب لكم كنز من أكاديمية حسوب، كتب في البرمجة، التصميم، التسويق، وريادة الأعمال!📚
📌 كتب أكاديمية حسوب تعتبر من افضل الكتب العربية معروفة بجودتها العالية وأساليبها المبسطة اللي تناسب جميع المستويات.
__
📥 كل الكتب موجودة في الملف المضغوط اللي تحت حمّلوها واستفيدوا!
شاركو رابط القناة لتعم👇🏻
لمزيد من الكورسات إنقر هنا فكرة مبرمج
شاركو رابط القناة لتعم👇🏻
فكرة مبرمج & Programmer idea
#التفاعل_مهم_يحفزنا
#كتب
📌 كتب أكاديمية حسوب تعتبر من افضل الكتب العربية معروفة بجودتها العالية وأساليبها المبسطة اللي تناسب جميع المستويات.
__
📚 قائمة شاملة بكل كتب أكاديمية حسوب، مرتبة حسب التصنيفات:
كتب البرمجة :
1. أتمتة المهام المملة عبر بايثون
2. تعلم البرمجة للمبتدئين
3. دليلك إلى Node.js
4. تعلم البرمجة بلغة Go
5. علوم الحاسوب من الألف إلى الياء
6. أساسيات إطار العمل Vue.js
7. دليل الأمان الرقمي
8. تصميم قواعد البيانات
9. البرمجة بلغة جافاسكربت
10. الدليل العملي إلى قواعد بيانات PostgreSQL
11. أنظمة التشغيل للمبرمجين
12. البرمجة بلغة سي
13. البرمجة بلغة رست
14. دليل JavaScript الشامل - الجزء الأول
15. البرمجة باستخدام Node.js
16. مدخل إلى الذكاء الاصطناعي وتعلم الآلة
17. هياكل البيانات للمبرمجين
18. ملاحظات للعاملين بلغة CSS
19. عشرة مشاريع عملية عن الذكاء الاصطناعي
20. ملاحظات للعاملين بلغة SQL
21. التحريك عبر CSS
22. البرمجة بلغة بايثون
23. نحو فهم أعمق لتقنيات HTML5
كتب DevOps:
1. دليل إدارة خواديم أوبنتو
كتب ريادة الأعمال:
1. مبادئ الإدارة
2. إنشاء المواقع والمتاجر الإلكترونية عبر ووردبريس مع ووكومرس
3. التوظيف عن بعد
كتب العمل الحر:
1. فن الترجمة والتعريب
2. دليل المستقل والعامل عن بعد
3. طريقك إلى العمل الحر عبر الإنترنت
4. إدفع لي وإلا!
5. دليلك المُختصر لبيع المُنتجات الرّقمية
كتب التسويق والمبيعات:
1. مدخل إلى التسويق
2. الدليل المُختصر لصفحات الهبوط (Landing Pages)
3. دليلك إلى تحسين محركات البحث SEO
كتب التصميم:
1. مدخل إلى تجربة المستخدم (User Experience - UX)
2. مدخل إلى تصميم واجهات المستخدم (User Interface - UI)
3. تصميم الشعارات: من الفكرة إلى الإنجاز
📥 كل الكتب موجودة في الملف المضغوط اللي تحت حمّلوها واستفيدوا!
شاركو رابط القناة لتعم👇🏻
فكرة مبرمج
Programmer idea
لمزيد من الكورسات إنقر هنا فكرة مبرمج
شاركو رابط القناة لتعم👇🏻
فكرة مبرمج & Programmer idea
#التفاعل_مهم_يحفزنا
#كتب
#قناة #فكرة_مبرمج #مشاريع_برمجية مفتوحة المصدر
مرحبًا بك في قناتنا المخصصة لمشاريع البرمجية المفتوحة المصدر! هنا ستجد مجموعة متنوعة من المشاريع الرائعة والمجانية التي يمكنك الاستفادة منها وإسهام في تطويرها.
سوف نشارك معك في هذه القناة:
- أحدث المشاريع البرمجية المفتوحة المصدر في مختلف المجالات كالويب والموبايل والبيانات الضخمة والذكاء الاصطناعي وغيرها.
- شرح تفصيلي لكيفية الحصول على هذه المشاريع وطريقة الإسهام في تطويرها.
- نصائح وتوجيهات حول كيفية المساهمة بفعالية في المجتمع المفتوح.
- إعلانات عن الفرص المتاحة للمساهمة في المشاريع الحديثة.
- أي معلومات أخرى قد تهمك حول البرمجة المفتوحة المصدر.
انضم إلينا واكتشف عالم البرمجة المفتوحة والمشاركة في إنشاء برمجيات مبتكرة ومفيدة للجميع!
https://t.me/Programmer_Idea_Projects
#مشاريع_برمجية
مرحبًا بك في قناتنا المخصصة لمشاريع البرمجية المفتوحة المصدر! هنا ستجد مجموعة متنوعة من المشاريع الرائعة والمجانية التي يمكنك الاستفادة منها وإسهام في تطويرها.
سوف نشارك معك في هذه القناة:
- أحدث المشاريع البرمجية المفتوحة المصدر في مختلف المجالات كالويب والموبايل والبيانات الضخمة والذكاء الاصطناعي وغيرها.
- شرح تفصيلي لكيفية الحصول على هذه المشاريع وطريقة الإسهام في تطويرها.
- نصائح وتوجيهات حول كيفية المساهمة بفعالية في المجتمع المفتوح.
- إعلانات عن الفرص المتاحة للمساهمة في المشاريع الحديثة.
- أي معلومات أخرى قد تهمك حول البرمجة المفتوحة المصدر.
انضم إلينا واكتشف عالم البرمجة المفتوحة والمشاركة في إنشاء برمجيات مبتكرة ومفيدة للجميع!
https://t.me/Programmer_Idea_Projects
#مشاريع_برمجية
بص يا صاحبي، لو انت مضغوط في المذاكرة قبل الامتحانات أو بتحضر لانترفيو ومش فاضي تتفرج على فيديوهات طويلة أو تقرأ كتب مملة، لازم تبص على QuickRef.
الموقع ده كنز بجد، كل حاجة متلخصة ومتوضبة حلو عن لغات البرمجة والتقنيات التانية، يعني تدخل تاخد الزتونة وتطلع من غير دوشة. حقيقي هينقذك لو وقتك على الحركرك وعايز تراجع بسرعة!
جربه من هنا: https://quickref.me/
الموقع ده كنز بجد، كل حاجة متلخصة ومتوضبة حلو عن لغات البرمجة والتقنيات التانية، يعني تدخل تاخد الزتونة وتطلع من غير دوشة. حقيقي هينقذك لو وقتك على الحركرك وعايز تراجع بسرعة!
جربه من هنا: https://quickref.me/
QuickRef.ME
QuickRef.ME - Quick Reference Cheat Sheet
Share quick reference and cheat sheet for developers
نصائح لمطوري تطبيقات الموبايل
- اختار التكنولوجيا الصح للمشروع، لو عايز أداء عالي استخدم Native زي Swift/Kotlin، ولو عايز حل سريع ومشترك بين الأنظمة جرب React Native أو Flutter.
- متصعبش الـ UI/UX، خلي التصميم بسيط، سلس، ومتوافق مع معايير Material Design أو Human Interface Guidelines.
- حسن الأداء من البداية، قلل الـ re-renders في React Native، واستخدم const Widgets في Flutter عشان متعيدش بناء الشاشة بدون داعي.
- قلل استهلاك البطارية والذاكرة، متشغلش عمليات تقيلة في الخلفية من غير ما تحتاجها، واستخدم WorkManager في Android و BackgroundTasks في iOS.
- قلل حجم التطبيق عن طريق ضغط الصور، حذف الملفات الغير ضرورية، وتقليل الاعتماد على مكتبات خارجية.
- اختبر التطبيق كويس باستخدام Unit Tests, Integration Tests, UI Tests عشان تضمن إنه مستقر ومفيش مشاكل للمستخدمين.
- حافظ على أمان بيانات المستخدم، متحفظش بيانات حساسة في AsyncStorage أو SharedPreferences، واستخدم Keychain (iOS) و EncryptedSharedPreferences (Android).
- اشتغل بـ Offline Mode، خزن البيانات المهمة في قاعدة بيانات محلية زي SQLite أو Room أو Hive عشان التطبيق يفضل شغال حتى بدون إنترنت.
- راقب الأداء والأخطاء في التطبيق باستخدام أدوات زي Firebase Crashlytics, Sentry, New Relic عشان تكتشف المشاكل قبل ما المستخدمين يشتكوا.
- متخليش التطبيق يطلب أذونات أكتر من اللازم، لو مش محتاج الكاميرا أو الموقع، متطلبش الإذن عشان متخوفش المستخدم.
- اشتغل بـ CI/CD عشان تسرّع عملية بناء التطبيق وإصداره، استخدم أدوات زي Fastlane, Bitrise, GitHub Actions.
- اختبر التطبيق على أجهزة مختلفة، مش بس على المحاكي، عشان تتأكد إنه بيشتغل كويس على كل الشاشات والأداء ثابت.
- حسن تجربة المستخدم في الشبكات البطيئة، استخدم Caching و Data Compression عشان التطبيق يكون سريع حتى مع الإنترنت الضعيف.
- تابع تحديثات الأنظمة والمكتبات، عشان متتفاجئش إن التطبيق بقى غير متوافق مع تحديث جديد في iOS أو Android.
- اختار التكنولوجيا الصح للمشروع، لو عايز أداء عالي استخدم Native زي Swift/Kotlin، ولو عايز حل سريع ومشترك بين الأنظمة جرب React Native أو Flutter.
- متصعبش الـ UI/UX، خلي التصميم بسيط، سلس، ومتوافق مع معايير Material Design أو Human Interface Guidelines.
- حسن الأداء من البداية، قلل الـ re-renders في React Native، واستخدم const Widgets في Flutter عشان متعيدش بناء الشاشة بدون داعي.
- قلل استهلاك البطارية والذاكرة، متشغلش عمليات تقيلة في الخلفية من غير ما تحتاجها، واستخدم WorkManager في Android و BackgroundTasks في iOS.
- قلل حجم التطبيق عن طريق ضغط الصور، حذف الملفات الغير ضرورية، وتقليل الاعتماد على مكتبات خارجية.
- اختبر التطبيق كويس باستخدام Unit Tests, Integration Tests, UI Tests عشان تضمن إنه مستقر ومفيش مشاكل للمستخدمين.
- حافظ على أمان بيانات المستخدم، متحفظش بيانات حساسة في AsyncStorage أو SharedPreferences، واستخدم Keychain (iOS) و EncryptedSharedPreferences (Android).
- اشتغل بـ Offline Mode، خزن البيانات المهمة في قاعدة بيانات محلية زي SQLite أو Room أو Hive عشان التطبيق يفضل شغال حتى بدون إنترنت.
- راقب الأداء والأخطاء في التطبيق باستخدام أدوات زي Firebase Crashlytics, Sentry, New Relic عشان تكتشف المشاكل قبل ما المستخدمين يشتكوا.
- متخليش التطبيق يطلب أذونات أكتر من اللازم، لو مش محتاج الكاميرا أو الموقع، متطلبش الإذن عشان متخوفش المستخدم.
- اشتغل بـ CI/CD عشان تسرّع عملية بناء التطبيق وإصداره، استخدم أدوات زي Fastlane, Bitrise, GitHub Actions.
- اختبر التطبيق على أجهزة مختلفة، مش بس على المحاكي، عشان تتأكد إنه بيشتغل كويس على كل الشاشات والأداء ثابت.
- حسن تجربة المستخدم في الشبكات البطيئة، استخدم Caching و Data Compression عشان التطبيق يكون سريع حتى مع الإنترنت الضعيف.
- تابع تحديثات الأنظمة والمكتبات، عشان متتفاجئش إن التطبيق بقى غير متوافق مع تحديث جديد في iOS أو Android.
https://t.me/UXUYbot/app?startapp=B_9cUc5Mdam11xQujX5igiSvGiMMxwdrqUGD5ZBUDsGU5D__solana
Send BNB(Solana) to my UXUY Wallet. Click to send👇👇
Send BNB(Solana) to my UXUY Wallet. Click to send👇👇
Telegram
UXUY Wallet
The first Self-Custody Multi-Chain Wallet based on Telegram, crafted by the @uxuycom team 🧑🤝🧑
Forwarded from عالم برمجةوتقنية الحاسوب C. P. W (Sharaf Alkawmani)
Telegram
عالم برمجةوتقنية الحاسوب C. P. W
عالم الحاسوب برمجه وتقنيه وتطوير شرح كل ما يتطلب في مجال علوم الحاسوب والبرمجة
https://t.me/programming_C_w
قنات الجرافيكس @l_d_gh
#Digitalmarketing
#programming
#AI #CPA
#learn
التواصل معي @Eng_sharaf1
https://t.me/programming_C_w
قنات الجرافيكس @l_d_gh
#Digitalmarketing
#programming
#AI #CPA
#learn
التواصل معي @Eng_sharaf1
Forwarded from تعليم الجرافيكس
هاذا شرح 11درس من البدايه للفوتوشوب شاركو القناة من أجل إكمال الدروس