Neler yeni

Detaylı bir şekilde XSS nedir?

ThePecter

Uzman Üye
Katılım
7 Nisan 2021
Mesajlar
22
Tepkime puanı
23
İlgi Alanlarınız
HACKTIVIST
Cinsiyet
  1. Erkek
Herkese marhaba arkadaşlar ben LuYzNn. bu konumda sizlere XSS (Cross Side Scripting) hakkında detaylı bir anlatım yapacağım, fazla uzatmadan konumuza geçelim.



- Konumun İçeriği -

- XSS Nedir, Ne işe Yarar ?
- XSS ile Neler Yapılabilir ?
- XSS Zafiyetinin Sebebi Nedir ?
- XSS Türleri Nelerdir ?
- XSS Zafiyetinden Nasıl Korunuruz ?


ufY11v.png


XSS Nedir, Ne işe Yarar ?

XSS (Cross Site Scripting) Genellikle web uygulamalarında
bulunmaktadır. Saldırgan html, css, javascript ile hazırladığı
zararlı kod dizinlerini, kurbanın tarayıcısında izinsiz bir
şekilde çalıştıran yada doğrudan sisteme zarar verebilicek web uygulama güvenliği zafiyetidir. Kurban tarafından görüntülenilen web sayfalarına istemci taraflı kodun enjekte
edilmesine imkân verir.




XSS ile Neler Yapılabilir ?

-JavaScript ile;

Yaygın olarak kullanılarn [email protected] saysinde kurbanınızın oturum bilgilerini ele geçirebiliriz. Ajax aracımız ile kurbanımızın bilgilerini uzak bir data da kaydedebiliriz. Aslında javascript kodu ile yapabileceğiniz herşeyi yaparsınız, az çokda sizin hayay gücünüze kalmış bir durumdur.

-HTML ile;

En kolay olarak bir fake input yerleştirip veri hırsızlığı yapabilirsiniz. [email protected] [email protected] ile istediğiniz bir sayfaya yönlendirebilirsiniz, kısacası html ve css kullanarak istediğiniz gibi yönlendirebilirsiniz.



XSS Zafiyetinin Sebebi Nedir ?

En temel sebebi kullanıcılar tarafından gelen inputların hiçbir işlem yapılmadan geçmesidir. Bu inputlar genellikle get metodu ile gönderilir yada cookie, session ve id değerleri olabilir.



XSS Türleri Nelerdir ?

XSS saldırı türleri 3'e ayrılmıştır

-Reflected XSS Nedir ?

Bu saldırı türünde kurbanımız beklediği parametrenin aksine, Javascript kodu girince saldırganın kontrolündeki bir uzak sunucuya gönderilen XSS türüdür.

-DOM Based XSS Nedir ?

PHP, ASP.NET gibi birçok programlama dilinde karşımıza çıkmaktadır sayfadaki obje, nesnelere el atarak müdahale etmeyi sağlar. Sunucu tarafında genelde uygulanan filtrelemeler işe yaramaz zira istemci tabanlı bir XSS türüdür.

-Stored (Perisent) XSS Nedir ?

Kalıcı bir XSS türüdür. Kullanıcıdan aldığımız verileri yeterli taramadan geçirmeyip veri tabanına kaydedip daha sonradan ziyaret ettiğimizde ortaya çıkan XSS çeşitidir. Diğer XSS türlerinden farklı olarak saldırganımız kurban ile muhattap olmasına gerek yoktur.


ufY11v.png


XSS Zafiyetinden Nasıl Korunuruz ?

Bize gelen, URL'lere direkt olarak tıklamayıp parametrelerle sayfaya dahil olan verileri backend tarafında çeşitli filtrelemerden geçirdikten sonra sayfaya dahil etmek cross site scripting tehlikesini sisteminizde ortadan kaldıracaktır.
Sadece karakter engellemek bazı durumlarda cross site scripting saldırılarından korunmak için yeterli olmayabilir. Örnek olarak <script> tagını engellediğinizde kullanıcı herhangi bir html koduna @n Mouse @NVER veya onLoad gibi çeşitli javascript çalıştırmaya imkan sunan parametreler ile cross site scripting saldırısını yine gerçekleştirebilir. Karakter engeli yapmak yerine
PHP sistemlerden örnek vermek gerekirse htmlspecialchars,strip_tags,trim gibi fonksiyonlardan geçirildikten sonra verilerin sayfaya dahil edilmesi sitenizi saldırılara karşı daha korumalı yapacaktır.
 

ThePecter

Uzman Üye
Katılım
7 Nisan 2021
Mesajlar
22
Tepkime puanı
23
İlgi Alanlarınız
HACKTIVIST
Cinsiyet
  1. Erkek
arkadaşlar önceden aktif olduğum bir forumda bu konuyu ben açmıştım şimdi burda açmak istedim
 

KocaReis

Developer
Katılım
18 Aralık 2020
Mesajlar
481
Tepkime puanı
979
Eline sağlık dostum
 

ThePecter

Uzman Üye
Katılım
7 Nisan 2021
Mesajlar
22
Tepkime puanı
23
İlgi Alanlarınız
HACKTIVIST
Cinsiyet
  1. Erkek
teşekkürler
 

redenergy

Bronz Üye
Katılım
31 Mart 2021
Mesajlar
165
Tepkime puanı
104
İlgi Alanlarınız
Sosyal medya uzmanlığı,siber güvenlik
Cinsiyet
  1. Erkek
  2. Kadın
Herkese marhaba arkadaşlar ben LuYzNn. bu konumda sizlere XSS (Cross Side Scripting) hakkında detaylı bir anlatım yapacağım, fazla uzatmadan konumuza geçelim.



- Konumun İçeriği -

- XSS Nedir, Ne işe Yarar ?
- XSS ile Neler Yapılabilir ?
- XSS Zafiyetinin Sebebi Nedir ?
- XSS Türleri Nelerdir ?
- XSS Zafiyetinden Nasıl Korunuruz ?


ufY11v.png


XSS Nedir, Ne işe Yarar ?

XSS (Cross Site Scripting) Genellikle web uygulamalarında
bulunmaktadır. Saldırgan html, css, javascript ile hazırladığı
zararlı kod dizinlerini, kurbanın tarayıcısında izinsiz bir
şekilde çalıştıran yada doğrudan sisteme zarar verebilicek web uygulama güvenliği zafiyetidir. Kurban tarafından görüntülenilen web sayfalarına istemci taraflı kodun enjekte
edilmesine imkân verir.




XSS ile Neler Yapılabilir ?

-JavaScript ile;

Yaygın olarak kullanılarn [email protected] saysinde kurbanınızın oturum bilgilerini ele geçirebiliriz. Ajax aracımız ile kurbanımızın bilgilerini uzak bir data da kaydedebiliriz. Aslında javascript kodu ile yapabileceğiniz herşeyi yaparsınız, az çokda sizin hayay gücünüze kalmış bir durumdur.

-HTML ile;

En kolay olarak bir fake input yerleştirip veri hırsızlığı yapabilirsiniz. [email protected] [email protected] ile istediğiniz bir sayfaya yönlendirebilirsiniz, kısacası html ve css kullanarak istediğiniz gibi yönlendirebilirsiniz.



XSS Zafiyetinin Sebebi Nedir ?

En temel sebebi kullanıcılar tarafından gelen inputların hiçbir işlem yapılmadan geçmesidir. Bu inputlar genellikle get metodu ile gönderilir yada cookie, session ve id değerleri olabilir.



XSS Türleri Nelerdir ?

XSS saldırı türleri 3'e ayrılmıştır

-Reflected XSS Nedir ?

Bu saldırı türünde kurbanımız beklediği parametrenin aksine, Javascript kodu girince saldırganın kontrolündeki bir uzak sunucuya gönderilen XSS türüdür.

-DOM Based XSS Nedir ?

PHP, ASP.NET gibi birçok programlama dilinde karşımıza çıkmaktadır sayfadaki obje, nesnelere el atarak müdahale etmeyi sağlar. Sunucu tarafında genelde uygulanan filtrelemeler işe yaramaz zira istemci tabanlı bir XSS türüdür.

-Stored (Perisent) XSS Nedir ?

Kalıcı bir XSS türüdür. Kullanıcıdan aldığımız verileri yeterli taramadan geçirmeyip veri tabanına kaydedip daha sonradan ziyaret ettiğimizde ortaya çıkan XSS çeşitidir. Diğer XSS türlerinden farklı olarak saldırganımız kurban ile muhattap olmasına gerek yoktur.


ufY11v.png


XSS Zafiyetinden Nasıl Korunuruz ?

Bize gelen, URL'lere direkt olarak tıklamayıp parametrelerle sayfaya dahil olan verileri backend tarafında çeşitli filtrelemerden geçirdikten sonra sayfaya dahil etmek cross site scripting tehlikesini sisteminizde ortadan kaldıracaktır.
Sadece karakter engellemek bazı durumlarda cross site scripting saldırılarından korunmak için yeterli olmayabilir. Örnek olarak <script> tagını engellediğinizde kullanıcı herhangi bir html koduna @n Mouse @NVER veya onLoad gibi çeşitli javascript çalıştırmaya imkan sunan parametreler ile cross site scripting saldırısını yine gerçekleştirebilir. Karakter engeli yapmak yerine
PHP sistemlerden örnek vermek gerekirse htmlspecialchars,strip_tags,trim gibi fonksiyonlardan geçirildikten sonra verilerin sayfaya dahil edilmesi sitenizi saldırılara karşı daha korumalı yapacaktır.
Eline sağlık
 

Konuyu görüntüleyen kullanıcılar:

Hukuksal Sorunlar İçin [email protected]
For Legal Problems [email protected]
Hacktivizm.Org
Hacktivizm.Org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Hacktivizm.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Hacktivizm saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Hacktivizm üyelerinin yaptığı bireysel hack faaliyetlerinden Hacktivizm sorumlu değildir. Sitelerinize Hacktivizm ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz. Sitemizde yer alan içerikler hakkındaki şikayetlerinizi Buradan iletişime geçerek bildirebilirsiniz. Please Report Abuse, DMCA, Scamming, Harassment, Crack or any Illegal Activities to [email protected]
Hacktivizm Twitter Hacktivizm Youtube Hacktivizm İnstagram Hacktivizm Telegram