XSS(Cross Site Scripting) Nedir?
Cross site scripting (XSS), bilgisayar güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır. 3 Çesit XSS türü Vardır.
XSS Türleri:
1-Reflected XSS: Kullanıcının girilmesi beklenen parametre yerine Javascript kodu girerek bunu ekrana yansıtması ile tespit edilebilen XSS çeşitidir.
2-Stored/Persistent XSS: Adında anlaşılacağı üzere kalıcı XSS türüdür.Bu sefer girilen payloadlar anlık olarak yansımaz bir veritabanına yada başka bir yere kayıt edilir daha sonradan ziyaret edildiğinde çalışan XSS çeşitidir.
3-Dom XSS: XSS Dom lardan kaynaklanan XSS dir.Gemelde # işaretinden sonra payload denenmesi ve sayfa yenilendiğinde alert alındığında DOM XSS var denilen XSS açıklığıdır.İşin teorik bilgisi DOM nesnesinden kaynaklandığı için en tehlikeli XSS türü olarak anılmaktadır.
XSS ile Neler Yapılabilir?
XSS ile javascript kodları çalıştırabilmekteyiz.Burada zararlı kodlar kullanıldığında Cookie çalma,sayfanın içinde başka sayfaya yönlendirme.Sitemize zararlı kodlar gömerek istedikleri başka saldırılar gerçekleştirebilirler.Web dünyasında önemli ve kritik açıklıklar arasında yer almaktadır.Cross site scripting (XSS), bilgisayar güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır. 3 Çesit XSS türü Vardır.
XSS Türleri:
1-Reflected XSS: Kullanıcının girilmesi beklenen parametre yerine Javascript kodu girerek bunu ekrana yansıtması ile tespit edilebilen XSS çeşitidir.
2-Stored/Persistent XSS: Adında anlaşılacağı üzere kalıcı XSS türüdür.Bu sefer girilen payloadlar anlık olarak yansımaz bir veritabanına yada başka bir yere kayıt edilir daha sonradan ziyaret edildiğinde çalışan XSS çeşitidir.
3-Dom XSS: XSS Dom lardan kaynaklanan XSS dir.Gemelde # işaretinden sonra payload denenmesi ve sayfa yenilendiğinde alert alındığında DOM XSS var denilen XSS açıklığıdır.İşin teorik bilgisi DOM nesnesinden kaynaklandığı için en tehlikeli XSS türü olarak anılmaktadır.
XSS ile Neler Yapılabilir?
XSS AÇIĞI NASIL BULUNUR?
inurl:"search.php?q= Google dorklarını kullanarak.
Search Kutularında
XSS açığı bir çok yerde bulunabilir..Eğer bir XSS Açığı arıyorsanız sizlere birkaç dork verip onun üzerinde denemeler yapabilirsiniz. Dork;
Bu Dorklar Çogaltılabilir , SQL dorklarını'da girebilirsiniz. Dorkumuzu arattıktan sonra herhangi bir siteye girdik.
Linkin sonundaki sayı değerini silip aşağıdaki alert kodunu yazdığımızda ekrana yildiz yazısını yazdırdık
Anlatımım başlangıç seviyesidir buradan sonra sniff ederek daha da ileriye gidebiliriz..!
Kaynak:https://www.siberguvenlik.web.tr/index.php/2019/10/29/xss-nedir/
inurl:"search.php?q= Google dorklarını kullanarak.
Search Kutularında
XSS açığı bir çok yerde bulunabilir..Eğer bir XSS Açığı arıyorsanız sizlere birkaç dork verip onun üzerinde denemeler yapabilirsiniz. Dork;
Kod:
inurl:search.php?id=
inurl:index.php?id=
inurl:kayit.php?id=
Linkin sonundaki sayı değerini silip aşağıdaki alert kodunu yazdığımızda ekrana yildiz yazısını yazdırdık
Kod:
deneme.com/search.php?id=<script>alert.(yildiz)</script>
Kaynak:https://www.siberguvenlik.web.tr/index.php/2019/10/29/xss-nedir/
Moderatör tarafında düzenlendi: