👾DOM & BOM

DOM (Document Object Model):
ساختاری درختی است که تمام عناصر HTML و CSS یک صفحه وب را نشان می‌دهد. می‌تواند توسط اسکریپت‌های سمت کلاینت (JavaScript) برای دسترسی و دستکاری محتوای صفحه، تعامل با کاربر و ارسال درخواست‌های HTTP استفاده شود.

BOM (Browser Object Model):
مجموعه‌ای از اشیاء است که به اسکریپت‌های JavaScript اجازه می‌دهد تا با مرورگر وب و سیستم عامل تعامل داشته باشند. شامل اشیاء مربوط به پنجره مرورگر، تاریخچه، موقعیت مکانی، ذخیره‌سازی و غیره می‌شود.

حملات امنیتی مرتبط با DOM و BOM:

- حملات XSS: تزریق کد JavaScript مخرب در صفحه وب برای دسترسی به داده‌ها یا انجام اقدامات ناخواسته.
- حملات CSRF: فریب کاربر برای ارسال درخواست‌های ناخواسته به وب‌سایتی که به آن اعتماد دارد.

مقابله با حملات:

- از CSP برای محدود کردن منابع قابل دسترسی توسط اسکریپت‌ها استفاده کنید.
- از X-XSS-Protection header برای فعال کردن حفاظت XSS در مرورگر استفاده کنید.
- از HTTP Referer header برای بررسی منبع درخواست‌ها استفاده کنید.

#javascript #js #xss #csrf

@Sec_Hint

🐝ارسال درخواست با جاوا اسکریپت:

یکی از دانش های مورد نیاز از جاوا اسکریپت ارسال درخواست (http) هست.

دو روش رایج برای ارسال درخواست با جاوا اسکریپت وجود دارد:

1. استفاده از XML HttpRequest (XHR)

2. استفاده از Fetch API مدرن‌تر و کاربرپسندتر است

ارسال درخواست GET با XHR:

یک نمونه کد ساده برای ارسال درخواست GET با استفاده از XHR :

const xhr = new XMLHttpRequest();
xhr.open('GET', 'https://www.example.com/data.json');
xhr.onload = function() {
  if (xhr.status === 200) {
    console.log(JSON.parse(xhr.responseText));
  } else {
    console.error('Error:', xhr.statusText);
  }
};
xhr.send();

ارسال درخواست POST با XHR:

برای ارسال درخواست POST با XHR، باید از هدر Content-Type برای داده ارسالی استفاده کنید.

const xhr = new XMLHttpRequest();
xhr.open('POST', 'https://www.example.com/submit-data');
xhr.setRequestHeader('Content-Type', 'application/json');
xhr.onload = function() {
  if (xhr.status === 200) {
    console.log('Data submitted successfully!');
  } else {
    console.error('Error:', xhr.statusText);
  }
};
const data = {
  name: 'John Doe',
  email: 'johndoe@example.com',
  message: 'This is a test message.'
};
xhr.send(JSON.stringify(data));

```

در پست بعدی به بررسی ارسال درخواست با Fetch API میپردازیم.

#basic #javascript #پیشنیاز #جاوااسکریپت #آموزش


ممنون که مارو به دوستاتون معرفی میکنید🥰
🌐Sec_Hint & Boost & Youtube

💀دنیای ناشناخته ی JavaScript

یه چلنج از root-me که شمارو با دنیای دیگه از javascript آشنا میکنه:
https://www.root-me.org/en/Challenges/Web-Client/Javascript-Native-code


#js #javascript #root_me #جاوااسکریپت #Challenges

ممنون که مارو به دوستاتون معرفی میکنید🥰
🌐Sec_Hint & Boost & Youtube

🍥ارسال درخواست‌های Fetch API در جاوا اسکریپت

در این پست، به بررسی نحوه ارسال درخواست‌های GET و POST با استفاده از Fetch API در جاوا اسکریپت می پردازیم. Fetch API یک رابط مدرن و قدرتمند برای انجام درخواست‌های HTTP در مرورگرهای وب است.

💥GET request

یک درخواست GET برای دریافت اطلاعات از یک سرور استفاده می‌شود. برای ارسال یک درخواست GET با Fetch API، مراحل زیر را دنبال کنید:

fetch('https://api.example.com/data')
  .then(response => response.json())
  .then(data => console.log(data))
  .catch(error => console.error(error));

💥POST request

یک درخواست POST برای ارسال اطلاعات به یک سرور استفاده می‌شود. برای ارسال یک درخواست POST با Fetch API، مراحل زیر را دنبال کنید:

const data = { name: 'Alice', age: 30 };
const jsonData = JSON.stringify(data);

fetch('https://api.example.com/users', {
  method: 'POST',
  body: jsonData,
  headers: { 'Content-Type': 'application/json' }
})
  .then(response => response.json())
  .then(data => console.log(data))
  .catch(error => console.error(error));

#JavaScript #FetchAPI #GET #POST #پیشنیاز #جاوااسکریپت #آموزش

ممنون که مارو به دوستاتون معرفی میکنید🥰
🌐Sec_Hint & Boost & Youtube

📖 هنوز JavaScript یاد نگرفتی؟؟
پس از این کتاب برای شروع استفاده کن ...
خلاصه و ساده مباحث رو توضیح داده ☺️

#book #javascript #beginner

ممنون که مارو به دوستاتون معرفی میکنید🥰
🌐Sec_Hint & Boost & Youtube

☠ یک پیلود خفن که میتونید کل endpoint های صفحه سایت رو پیدا کنید

javascript:(function(){var scripts=document.getElementsByTagName("script"),regex=/(?<=(\"|\'|\`))\/[a-zA-Z0-9_?&=\/\-\#\.]*(?=(\"|\'|\`))/g;const results=new Set;for(var i=0;i<scripts.length;i++){var t=scripts[i].src;""!=t&&fetch(t).then(function(t){return t.text()}).then(function(t){var e=t.matchAll(regex);for(let r of e)results.add(r[0])}).catch(function(t){console.log("An error occurred: ",t)})}var pageContent=document.documentElement.outerHTML,matches=pageContent.matchAll(regex);for(const match of matches)results.add(match[0]);function writeResults(){results.forEach(function(t){document.write(t+"<br>")})}setTimeout(writeResults,3e3);})();

فقط کافیه این کد رو توی کنسول مرورگر Paste کنید. یا این رو اتومیت کنید

#javascript #endpoint

🔔با ما همراه باشید
🌐Sec_Hint & Boost & Youtube

🔥 اکستنشن کروم برای استخراج اندپوینت‌ها و URLها از فایل‌های جاوااسکریپت 🔍

🔗 و Extractifyیه اکستنشن جذاب برای کرومه که به طور خودکار اندپوینت‌ها و URLها رو از فایل‌های جاوااسکریپت پیدا می‌کنه. 📂✨ ویژگی خاص این ابزار اینه که دائم روی DOM سایت نظارت داره؛ یعنی اگر یه فایل جاوااسکریپت جدید به DOM اضافه بشه، بلافاصله اون رو اسکن و اطلاعات مورد نیاز رو استخراج می‌کنه.

🔧 مناسب برای تست نفوذ روی سایت‌های مدرن مثل SPAها (مثل Next.js، React و ...)

#BugBounty #ChromeExtension #JavaScript #SPA

🔔با ما همراه باشید
🌐Sec_Hint & Boost & Youtube

اگر جاوااسکریپت رو در حد قابل قبولی بلدید میتونید از این فایل استفاده کنید و موارد مورد نیاز امنیت در جاوااسکریپت رو یاد بگیرید...
اگر چیزی از جاوااسکریپت نمیدونید بهتره با این فایل شروع نکنید.

#javascript

📌 برای مطالب بیشتر و آموزش‌های تخصصی، کانال ما رو دنبال کنید!
🌐Sec_Hint & Boost & Youtube