Web Security Testing – Part 2 | Attacking the Client

Описание: اللهم صل وسلم وبارك على سيدنا محمد.

درايف كامل و شامل للمادة بيحتوي على كل حاجه تخص المادة
https://drive.google.com/drive/folder...

في Part 2 من Web Security Testing بننتقل لهجمات خطيرة بتركّز على
الهجوم على الـ Client نفسه (المتصفح – JavaScript – UI Controls).

الفيديو بيشرح هجومين أساسيين:

🔸 Attack 4: Bypassing Restrictions on Input Choices

الهجوم ده بيركّز على:

التلاعب في:

Drop-down lists

Radio buttons

Hidden fields

Text boxes

إرسال قيم للسيرفر:

غير متوقعة

خارج الحدود

غير مسموح بها من الواجهة

طرق الهجوم:

تعديل صفحة HTML محليًا

أو تعديل البيانات أثناء الإرسال باستخدام Proxy Tools زي:

Burp Suite

OWASP ZAP

الخطر الحقيقي:

المشكلة مش في الواجهة… المشكلة إن السيرفر بيثق فيها.

🔸 Attack 5: Bypassing Client-Side Validation

الهجوم ده بيركّز على تعطيل:

JavaScript validation

onSubmit / onBlur / onClick checks

طرق الهجوم:

إيقاف JavaScript بالكامل

حذف validation من الكود

التلاعب بالـ DOM

بعد كده المهاجم يقدر يرسل:

قيم غلط

SQL Injection

XSS

أرقام سالبة

بيانات خارج النطاق

🔹 How to Defend (الدفاع الصح):

NEVER TRUST THE CLIENT

كل Validation لازم يكون:

Server-side

استخدام:

Whitelist بدل Blacklist

Business rules على السيرفر

Authorization وSessions