Kullanıcıların Dikkatine!

Konularda yapılan kısaltmalı ve geçiştirilmiş mesajlar (adsadas, haha, sjsksjsdjks, asdsd, nokta, random, sayı vb.) yasaklanma sebebidir. Mağduriyet yaşanmaması için bu duruma dikkat etmelisiniz.

Daha Fazlası

Hacktivizm Online

Hacktivizm sitesi hack kültürünü benimsemiş kişiler tarafından 2020 yılında kuruldu. Kuruluş amacı Türkiye'nin en büyük hack forumu olmak ve bilgi alışverişinde bulunmaktır.

Daha Fazlası

Konu Açarken Dikkat Edilmesi Gerekenler

Forumda oluşan / oluşması öngörülen görüntü kirliliğine engel olmak ve başlıkların daha temiz dil ile açılması amacıyla kurallarımıza bazı bağımlı / bağımsız maddeler eklemek durumundayız.

Daha Fazlası

Xss Açığı Bulma (Manuel) Xss Açığı Nedir?

RedEnergy

Altın Üye
Katılım
31 Mart 2021
Mesajlar
648
Tepkime puanı
1,131
İlgi Alanlarınız
Sosyal medya uzmanlığı,Webtasarım
Cinsiyet
  1. Erkek
Xss Açığı Nedir?

Cross site scripting (XSS), bilgisayar güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.

652-03a64cf9e9b582fc40d393651c907030.png


Xss Açığı Nasıl Bulunur? (Manuel)

Xss Açığı'na sahip olan siteleri bulmak için özel olarak bir dork yazma yöntemi yoktur. SQL İnjection Açığı'nda yazdığımız dorkları kullanırız.

Kod:inurl:archive.php?id= inurl:gallery.php?id=

Örnek bir dorktur. Bunu ülkeye göre veya special (.gov, .org) vs. özelleştirmeyi görmüştük. Bir de Xss Açığı için kullanacağımız kelimeyi iyi olarak ayarlayabiliyoruz. Mesela:

Kod:inurl:search.php?id=

Buradaki "search" kelimesi "aramak" anlamına geldiğine göre arama kutusu bulunan sitelerin karşımıza çıkma ihtimali artacaktır. Tabii bu yazdığımız normal dorklardır. "İd" yerine alınabilecek farklı kombinasyonlar da var. İnternette "SQL Dork" diye aratırsanız anlarsınız.
Xss Açığı'nın Var Olduğu Nasıl Anlaşılır?
Xss Açığı'nın var olduğunu anlamanın yolu sayfaya Html veya Js gibi bir kod yazıp çalıştırmak olacaktır. Çalıştırmaktan bahsettiğim örneğin bir arama kutucuğuna gerekli Web Kodlarını yazdıktan sonra veri gönderme butonuna basmaktan bahsediyorum. Xss Açığı sayfada Html,Js,Php gibi kodları yazma ayarının açık bırakılmasından oluşur ve eğer bir Xss Açığı varsa buna göre yazdığımız kodların sonucunu görmemiz gereklidir. Dediğim gibi tarama yapmak uzun olacağı için bir program kullanmanız yararınıza olacaktır.
Bir örnek vereyim


Sitemiz Php ile yapılmış ise;
Kod: <script>alert("HUNTER")</script>

Sitemiz Asp ile yapılmış ise;
Kod: "><script>alert("HUNTER")</script>

(JavaScript kodlarıdır. Php ve Asp arasında bir işaret farkı var, buna dikkat edin. Geri kalan kısım "HUNTER" yazısı hariç kalıp sözcüklerdir.)

Bunun yerine farklı bir kod (Mesela Html) de çalıştırabiliriz, bu bir şeyi değiştirmez. Yukarıdaki kodu uyguladığımızda bir "HUNTER" şeklinde bir uyarı mesajı alacağız.


Xss Kodları Nasıl Kullanılır?
Mesela bir arama kutusunda Xss Açığı varsa yukarıdaki kodu kutucuğa olduğu gibi yazmalıyım. Sonra da zaten "Arama Yap" vs. bir buton vardır, tıklarım. Eğer bir Xss Açığı varsa uyarıyı almam gerekir. Xss Açığı'nın kullanımı için Adres Çubuklarında bir istisna vardır bunu anlatmalıyım, Xss Açığı'nın en çok çıktığı yerlerden biri Url üzeridir. Yani şu şekilde:

Örnek Kod: http://www.ancientscripts.com/search.php?q=<script>alert("HUNTER")</script>

 

EmirOnlin3x

Bronz Üye
Katılım
4 Mart 2021
Mesajlar
313
Tepkime puanı
441
Konum
Technology World
İlgi Alanlarınız
Network & Security Systems
Web Application Penetration
Cyber Intelligence
Software Development
Graphic Design
Cinsiyet
  1. Erkek
Xss Açığı Nedir?

Cross site scripting (XSS), bilgisayar güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.

Ekli dosyayı görüntüle 689


Xss Açığı Nasıl Bulunur? (Manuel)

Xss Açığı'na sahip olan siteleri bulmak için özel olarak bir dork yazma yöntemi yoktur. SQL İnjection Açığı'nda yazdığımız dorkları kullanırız.

Kod:inurl:archive.php?id= inurl:gallery.php?id=

Örnek bir dorktur. Bunu ülkeye göre veya special (.gov, .org) vs. özelleştirmeyi görmüştük. Bir de Xss Açığı için kullanacağımız kelimeyi iyi olarak ayarlayabiliyoruz. Mesela:

Kod:inurl:search.php?id=

Buradaki "search" kelimesi "aramak" anlamına geldiğine göre arama kutusu bulunan sitelerin karşımıza çıkma ihtimali artacaktır. Tabii bu yazdığımız normal dorklardır. "İd" yerine alınabilecek farklı kombinasyonlar da var. İnternette "SQL Dork" diye aratırsanız anlarsınız.
Xss Açığı'nın Var Olduğu Nasıl Anlaşılır?
Xss Açığı'nın var olduğunu anlamanın yolu sayfaya Html veya Js gibi bir kod yazıp çalıştırmak olacaktır. Çalıştırmaktan bahsettiğim örneğin bir arama kutucuğuna gerekli Web Kodlarını yazdıktan sonra veri gönderme butonuna basmaktan bahsediyorum. Xss Açığı sayfada Html,Js,Php gibi kodları yazma ayarının açık bırakılmasından oluşur ve eğer bir Xss Açığı varsa buna göre yazdığımız kodların sonucunu görmemiz gereklidir. Dediğim gibi tarama yapmak uzun olacağı için bir program kullanmanız yararınıza olacaktır.
Bir örnek vereyim


Sitemiz Php ile yapılmış ise;
Kod: <script>alert("HUNTER")</script>

Sitemiz Asp ile yapılmış ise;
Kod: "><script>alert("HUNTER")</script>

(JavaScript kodlarıdır. Php ve Asp arasında bir işaret farkı var, buna dikkat edin. Geri kalan kısım "HUNTER" yazısı hariç kalıp sözcüklerdir.)

Bunun yerine farklı bir kod (Mesela Html) de çalıştırabiliriz, bu bir şeyi değiştirmez. Yukarıdaki kodu uyguladığımızda bir "HUNTER" şeklinde bir uyarı mesajı alacağız.


Xss Kodları Nasıl Kullanılır?

Mesela bir arama kutusunda Xss Açığı varsa yukarıdaki kodu kutucuğa olduğu gibi yazmalıyım. Sonra da zaten "Arama Yap" vs. bir buton vardır, tıklarım. Eğer bir Xss Açığı varsa uyarıyı almam gerekir. Xss Açığı'nın kullanımı için Adres Çubuklarında bir istisna vardır bunu anlatmalıyım, Xss Açığı'nın en çok çıktığı yerlerden biri Url üzeridir. Yani şu şekilde:

Örnek Kod: http://www.ancientscripts.com/search.php?q=<script>alert("HUNTER")</script>
E.s
 

Konuyu görüntüleyen kullanıcılar:

Hukuksal Sorunlar İçin[email protected]
For Legal Problems[email protected]
Hacktivizm.Org
Hacktivizm.Org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Hacktivizm.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Hacktivizm saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Hacktivizm üyelerinin yaptığı bireysel hack faaliyetlerinden Hacktivizm sorumlu değildir. Sitelerinize Hacktivizm ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz. Sitemizde yer alan içerikler hakkındaki şikayetlerinizi Buradan iletişime geçerek bildirebilirsiniz. Please Report Abuse, DMCA, Scamming, Harassment, Crack or any Illegal Activities to [email protected]
Hack Forum
Hacktivizm, 2020 yılında kurulmuş bir siber güvenlik forum sitesidir aynı zamanda hack forumu,hack sitesi,hack forum ve Türk hack forumudur. Hack forum aramalarında ilk sayfada olan bu hack forum sitesi gün geçtikçe gelişmektedir. Hack Forum kelimesinin anlamı ise, hacker kültürü ve bilgisayar güvenliği ile ilgili tartışmalara adanmış bir İnternet forumudur. Web sitesi, analiz şirketi Alexa Internet tarafından web trafiği açısından "Hacking" kategorisinde bir numaralı web sitesi olarak yer almaktadır.

Telefon Takip - İphone Hackleme - PDF Şifre Kırma - Telefon Hackleme - İnstagram Hesap Çalma - Twitter Hesap Çalma - Facebook Hesap Çalma - Wifi Şifre Kırma - Telefon Şifresi Kırma

Hacktivizm Twitter Hacktivizm Youtube Hacktivizm İnstagram Hacktivizm Telegram

Üst