هل اشتغلت قبل كده على نظام فيه معاملات مالية زي بنك أو Wallet System، وكان مطلوب من المستخدم يدخل بيانات زي:
- الاسم (Name)
- رقم البطاقة (Card Number)
- كلمة المرور (Password)
ويجيلك Response فيه رسالة نجاح زي:Welcome [User Name]
لكن… فكرت يومًا إنك بدل ما تكتب اسم المستخدم العادي، تجرب تبعت كود JavaScript بسيط في الـ name؟ 😈
ده بالظبط اختبار مهم اسمه:
✅ XSS Injection Testing
اختبار الـ XSS (Cross-Site Scripting) بيهدف إنه يتأكد إن الـ Backend بيعمل Validation صحيح ومش بيسمح بمرور أكواد ضارة ممكن يستخدمها الـ Hackers.
📌 ليه ده مهم؟
لأن من خلال حقل بسيط زي “Name”، الهاكر يقدر يحقن كود ويبدأ يسرّب معلومات المستخدم، يوصل لحسابه البنكي، يعمل Transactions، والنتيجة: خساير فادحة للثقة والسمعة.
🔧 إزاي تعمل XSS Injection Testing في Postman؟
- روح على أي API بيستقبل JSON في الـ Body
- اختار النوع:
raw > JSON - جرب تبعت كود زي ده في الـ name:
{
"name":
"<script>alert('XSS')</script>"
}- لو الـ Backend مأمن كويس، المفروض يرد بـ:
400 Bad Request
⚠️ لو الـ API بيرجع 200 OK أو بيظهر الكود في الـ Response بدون فلترة، فده مؤشر خطر جدًا.
🛡️ ليه ده اختبار أساسي؟
لأنه من أخطر أنواع Security Testing، ووجوده في السيناريوهات البنكية أو حتى أي نموذج تسجيل دخول أو بيانات حساسة، يعتبر خط أحمر لأي System محترم.
يجب أنت تكون مسجل الدخول لتضيف تعليقاً.