Blog Wallpaper
A
ALI ALAKABRالجمعة، 4 يوليو 2025

XSS-Radar

هي أداة مفتوحة المصدر مخصصة لمساعدتك في اكتشاف ثغرات XSS (Cross-Site Scripting) في تطبيقات الويب بشكل تلقائي وسريع. الأداة تراقب وتتحقق من استجابات المتصفح لرصد أي تنفيذ غير متوقع للسكريبتات، وتُستخدم غالبًا في بيئة اختبار الثغرات الأمنية (Bug Bounty) أو أثناء اختبار الاختراق اليدوي.

منذ شهرين تقريبا

Area Iconالأمن السيبراني - صيد الثغراتv1 النسخة

شنو هي أداة XSS-Radar؟

هي عبارة عن إضافة (Extension) للمتصفح Google Chrome، تم تصميمها حتى تساعد الـ Bug Bounty Hunters والمختصين بالأمن السيبراني يكتشفون ثغرات XSS على الصفحات بطريقة ذكية وسريعة.

الأداة تركّز على:

  • حقن السكربتات آلياً داخل الحقول.
  • متابعة تنفيذ السكربت إذا تم.
  • عرض تنبيه مباشرة إذا اشتغل السكربت، حتى تعرف المكان المصاب.

شنو مميزاتها؟:

سهلة التثبيت والتشغيل

تشتغل كإضافة على Chrome، بدون ما تحتاج إعدادات معقدة.

تشتغل بشكل تلقائي

بس تفتح الصفحة، تبدي تشتغل وتحقن السكربتات على كل الحقول القابلة للإدخال.

تنبيه مباشر عند التنفيذ

إذا تم تنفيذ السكربت، راح تشوف تنبيه واضح على الشاشة، وتعرف وين صار التنفيذ.

ذكية

تقدر تتجاوز بعض الفلاتر، وتكتشف انعكاسات غير مباشرة للمدخلات.

قابلة للتعديل

تقدر تغيّر البايلودات حسب مزاجك أو حسب نوع الحماية اللي تتعامل وياها.

طريقة تثبيت الأداة:

1. حمّل الأداة من GitHub:

ادخل على المستودع الرسمي واضغط على Code > Download ZIP

أو استخدم هذا الأمر من التيرمنال إذا عندك Git:

git clone https://github.com/bugbountyforum/XSS-Radar.git

2. فك الضغط عن الملف:

إذا حملت الملف ZIP، فك الضغط بأي برنامج (مثلاً WinRAR أو 7-Zip).

3. روح للمتصفح (Chrome):

  • افتح صفحة الإضافات من خلال:
chrome://extensions
  • فعّل خيار Developer mode (موجود على اليمين فوق).
  • اضغط على Load unpacked، واختار مجلد XSS-Radar اللي فكّيت ضغطه.

4. تم تثبيت الأداة

طريقة الأستخدام:

  1. افتح الموقع أو الصفحة الهدف.
  2. الأداة راح تبدي تشتغل تلقائياً وتحاول تحقن سكربتات داخل كل الحقول.
  3. إذا نجح السكربت، راح تشوف تنبيه أو نافذة تنفتح وتقولك "XSS Detected".

مثال بسيط:

  • الأداة راح تحقن هذا السكربت:
<script>alert('XSS-Radar')</script>
  • إذا شفته يشتغل، فمعناتها عندك XSS.

أمثلة عملية:

صفحة فيها حقل بحث Search:

  1. تفتح الصفحة.
  2. الأداة تحقن السكربت داخل مربع البحث.
  3. إذا الموقع ما عالج المدخل بشكل آمن، السكربت يشتغل، وتنكشف الثغرة.

http://testphp.vulnweb.com/

نموذج تسجيل مستخدم:

  1. تدخل على صفحة الـ signup.
  2. الأداة تحقن سكربت داخل حقل الاسم أو الإيميل.
  3. بعد الإرسال، إذا السكربت انعكس واشتغل بأي مكان، راح يوصلك تنبيه.

شلون أضيف بايلود خاص بي؟

روح على كود الأداة، وداخل ملف xss.js راح تلكه المتغيرات الخاصة بالـ payloads:

var payloads = [
    "<script>alert(1)</script>",
    "\"><script>alert(1)</script>",
    ...
];

تگدر تضيف بايلودات جديدة خاصة حسب احتياجك. مثلاً:

"<img src=x onerror=alert(123)>",
"<svg onload=confirm('XSS')>",

روابط مفيدة:

سوبرسايبر | XSS-Radar