TY - JOUR ID - TI - Protecting Website from Cross Site Script Attack حماية المواقع الالكترونية من هجوم XSS AU - Rawaa Mohammed Abdul-Hussein رواء محمد عبد الحسين PY - 2015 VL - 7 IS - 1 اللغة الانكليزية SP - 93 EP - 103 JO - Iraqi Journal of Information Technology المجلة العراقية لتكنولوجيا المعلومات SN - 19948638 26640600 AB - Web pages are containing growing extents of dynamic display personalized for individual clients and this will lead to more vulnerability such as cross-site scripting attack and the potential stealing of confidential user data. XSS is take place when web applications accepted malicious scripting code then web browser will execute the malicious script code that has been injected directly to the customer’s computer. In this paper a secure code PHP functions is proposed to avoid XSS attack using two approaches the first one white list of regular expression is used to validate the input data as trusted input and another black list of regular expression used to protect every input entry that has the potential to inject a malicious script in it so even if the attacker inject XSS script code in the input field this code will not be executed it just will be removed. This work use vulnerable PHP web site to evaluate the effectiveness of the proposed system before and after applying it and the result clearly show the difference in the results and capability of system to prevent XSS attack.

ان المواقع الالكترونية لاتزال تزيد من كمية العرض الديناميكي المخصص للاستخدام الشخصي ولكن هذه الوظائف الديناميكية يمكن ان تقود الى ثغرات قوية مثل cross-site scripting والتي يمكن ان تؤدي الى سرقة معلومات الزبون الشخصية. ان هجوم ال XSSيمكن ان يستخدم لاضافة سكربتات برمجية ضارة في تطبيقات الويب ومن ثم يتم ارجاعه الى جهة المستخدم. ثم بعد ذلك عندما يستخدم المستعرض لزيارة المكان الذي اصيب بهذه الثغرة سوف يؤدي الى تنفيذها مباشرة في حاسوب المستخدم. في هذا البحث تم أقتراح دالة حماية المواقع الالكترونية المصمة بلغة ال PHP من هجوم بأستخدام اسلوبين الاسلوب الاول يستخدم قائمة بيضاء من التعابير المنتظمة لمطابقة البيانات المدخلة كبيانات سليمة والاسلوب الثاني يستخدم قائمة سوداء من التعابير المنتظمة لحماية كل مصدر أدخال للبيانات من البيانات الضارة وفي حالة أدخال هجوم من قبل المهاجم فأنه سوف لن يتنفذ ولكن سوف يتم حذف الهجوم. حيث تم أستخدام موقع قابل للاختراق لتقيم فعالية النظام المقترح قبل وبعد تفعيله حيث أظهرت النتائج الفرق بين هذه النتائج وفعالية النظام في الحماية من هذه الثغرة. ER -