Cüneyt BERGEL

Cross Site Scripting adından belli ettiği üzere web yazılımlarında kullanılan scriptlerin kullanıcıya müsade edilen alanlara girişi ile meydana gelen bir açıktır. Saldırgan istediği kodu siteye ulaştırmak için başka siteler kullanabilir (örn : cookie çalma ) bu yüzden Cross Site olarak adlandırılır.

 

ÇoÄŸunluk la Saldırgan XSS i farklı sitelere yönlendirme yapmak ve kullanıcıların cookie lerini çalmak için kullanır. Çaldığı cookie yi kendi cookie’ si ile deÄŸiÅŸtirip kullanıcının yetkilerine ulaÅŸmayı amaçlar. XSS açığını uzman programcılar yapmaz , genelde programcılığa yeni baÅŸlamış kiÅŸiler bu hatalara çok fazla düşer.

Örnek vermek gerekirse ; kullanıcaya veri  girişine izin verilen alanda denenebilecek bu script <script>alert(XSS)</script>Saldırganın sitede XSS açığı olup olmadığı hakkında bilgi sahibi olmasını sağlar. Eğer web yazılımda açık var ise bu kod bir kutu içerisinde XSS metni gösterecektir.Bir çok araç ile sitenizde XSS açığı olup olmadığını kontrol edebilirsiniz. Bu açıklarıdan kurtulmak için yapmanız gereken izin verilen alanlara zararlı kodun girişini filtrelemektir.
  Zararlı kodlara örnek vermek gerekirse   “<,>,/,’,%,+,&, “ Yukarıda verilen karakterleri web yazılımında filtrelemek  SQL Injection ve XSS dahil bir çok yöntem ile web yazılımınızın hacklenmesinden  koruyacaktır. Bir sonraki yazımda XSS çeÅŸitleri ve bu çeÅŸitlerdeki açıkların nasıl tespit edileceÄŸiyle ilgili bilgi vereceÄŸim.

Konuyla İlgili Diğer Yazılar

• Blackbox Penetrasyon Testi-2
• Blackbox Penetrasyon Testi-1
• Penetrasyon Testi
• Lokal Network GüvenliÄŸi (3. Bölüm- Ortadaki Adam)
• Lokal Network GüvenliÄŸi (2. Bölüm- Arp Zehirlenmesi)
• Https’e Ne Kadar Güvenmeliyiz?
• Flash Uygulamalardaki Güvenlik Zaafiyeti
• Lokal Network GüvenliÄŸi (Bölüm 1-Genel Bakış)

Leave a Reply