Join
Persona Non Grata
@personanongrata
PenetrasyonTesti
March 20, 2020

Cross Site Scripting (XSS) Nedir ?

XSS (Cross Site Scripting) script kodları üzerinden (genelde javascript) bir web sayfasına saldırı yapılmasıdır. XSS çoğunlukla tarayıcıda saklanan bilgiler olan cookielere saldırı amacı ile kullanılmaktadır. XSS saldırıları, Web Saldırılarının en yaygın biçimlerinden biridir ve tüm web saldırılarının % 12.75‘ini şaşırtıcı derecede bu saldırı türü oluşturur. Tüm web güvenlik açıklarının yaklaşık % 70’i XSS ile ilgilidir.

Web sitesinde XSS Zaafiyeti bulup o web sitesindeki Kullanıcıların veya site yöneticisi olan Admin’nin Cookielerini çalıp hesabı ele geçirebiliriz.XSS Açığı sadece buna yaramaz.Javascript kodlarıyla backlink yapabilir yada kurbana sağlam bir Keylogger gömebiliriz.

XSS Türleri Nelerdir ?

Reflected XSS: Kullanıcının girilmesi beklenen parametre yerine Javascript kodu girerek bunu ekrana yansıtması ile tespit edilebilen XSS çeşitidir.
Stored/Persistent XSS: Adında anlaşılacağı üzere kalıcı XSS türüdür.Bu sefer girilen payloadlar anlık olarak yansımaz bir veritabanına yada başka bir yere kayıt edilir daha sonradan ziyaret edildiğinde çalışan XSS çeşitidir.
Dom XSS: Dom (Document Object Model) XSS Dom lardan kaynaklanan XSS dir.Gemelde # işaretinden sonra payload denenmesi ve sayfa yenilendiğinde alert alındığında DOM XSS var denilen XSS açıklığıdır.İşin teorik bilgisi DOM nesnesinden kaynaklandığı için en tehlikeli XSS türü olarak anılmaktadır.

XSS Açığı Nerelerde Bulunur?

Search Kutularında
id= Değerinin Bulunduğu Adreslerde
Ziyaretçi Defterlerinde
Kayıt Formlarında

Peki XSS açığına nasıl önlem alabiliriz?

  • Web sayfasında veri girişi yapılan alanlardan (örneğin:form) meta karakterlerini filtreleyerek bu açığa karşı önlem alabiliriz.
  • Çerezlerin güvenli hale getirilmesi , çerezler içerisinde kullanıcı adı ve şifre saklanmaması bu açığa karşı alınabilecek önlemler arasında yer alır.
  • Bizler web ve veri güvenliğine verdiğimiz önemin doğrultusunda müşterilerimiz için en iyi hizmeti vermeye gayret etmekteyiz.Dinamik web sayfaları geliştirirken sizler de bu makalede verilen bilgiler ışığında hareket edebilirsiniz

Sonraki yazımda XSS açığını beraber uygulayacağız..

@ykslkrkci tarafından Persona Non Grata için yazılmıştır . Telegram grubumuza katılın.

+ Ne gülüyosun lan ?

- Gülmüyorum abi.

Persona Non Grata
March 20, 2020, 22:05
0 views
0 reactions