Herkese merhaba 
Bugünkü konuda artık çoğu kişinin kullanmadığı ve bu sebepten ötürü siber güvenlik ve web güvenliğine yeni başlamış arkadaşların çoğunlukla atladığı bir konuya değinmek istiyorum. Sizlere HTML Injection nedir ve gerekli durumlarda kullanıldığında nasıl etkili sonuçlar verdiğini sizlere aktarmaya çalışacağım. Şimdiden güzel yorum yapan ve beğenen herkese teşekkür ederim
HTML INJECTİON NEDİR?: HTML Injection, kötü niyetli bir kullanıcının bir web sitesine kendi HTML kodunu enjekte etmesi anlamına gelir. Bu güvenlik açığı, genellikle kullanıcı girdilerinin düzgün şekilde filtrelenmemesi veya doğrulanmaması nedeniyle ortaya çıkar.
HTML Injection iki çeşittir. Bunlar;
• Reflected HTML Injection
• Sorted HTML Injection
Peki bu iki çeşit injection arasında ne tür farklar vardır? Gelin bunu inceleyelim.
1. REFLECTED HTML INJECTİON: Bir hackerın girdiği kötü amaçlı HTML kodu hemen anında yanıt olarak sayfada döner. Örneğin form alanına;
Şeklinde bir HTML kodu girdiğinizde eğer ki o sayfada düzgün bir filtreleme veya yapılandırma yoksa sayfayı yenilediğiniz anda sayfanın başına bir başlık yazısı belirir. Bu anlık olarak yenilenir ve sonucu hemen etkili olur.
2. SORTED HTML INJECTİON: Bir hackerın girdiği kötü amaçlı HTML kodu eğer ki sitede aynı şekilde filtre ve yapılandırma düzgün değilse bu kod veritabanına kaydedilir. Bunun sonucunda da birçok kullanıcıya bu kod gösterilir. Örnek olarak bir sitenin yorum kutusuna;
Yazıp entera basarsanız sayfayı her yenilediğiniz anda sayfanın en üstünde siteye her giren kullanıcıya bu mesaj pop-up olarak gösterilir.
HTML Injection sayfanın yapısını tamamen bozabilir, kullanıcıları sahte formlara yönlendirerek kimlik avı yapılabilir, kullanıcıların çerezleri çalınabilir ve kötü amaçlı JavaScript kodları çalıştırarak daha büyük saldırılara kapı açabilir. Yani kısacası etkisi çok büyüktür.
Bu tür saldırılardan nasıl korunabiliriz bunları da ele alalım;
Sitenize ilk önce girdi doğrulama mutlaka ekleyin. Yalnızca izin verdiğiniz karakterde girdilerin kabul edilmesini sağlayın.
Python da Bleach ve JavaScript te DOMPurify kullanarak zararlı içerikleri temizleyebilirsiniz. Bu modüller hakkında detaylı bilgi ayrı bir konu olarak gelecek.
Eğer ki siteniz kullanıcıdan gelen verileri doğrudan sayfada görüntüleyen bir sisteme sahipse bu güvenlik önlemlerini mutlaka almanız gerekir.
Sanal makine üzerinden Beeware kurup Beeware in kendi resmi sitesinde bu HTML Injection açığını test edebilirsiniz. İlerde birgün mutlaka işinize yarayabilir. Ancak şu anda birçok site bu tür saldırılara karşı geniş güvenlik önlemine sahip. Gene de bilmekte fayda var
Bu konunun da sonuna geldik. Başka bir konuda tekrar görüşmek üzere, kendinize iyi bakın
Bugünkü konuda artık çoğu kişinin kullanmadığı ve bu sebepten ötürü siber güvenlik ve web güvenliğine yeni başlamış arkadaşların çoğunlukla atladığı bir konuya değinmek istiyorum. Sizlere HTML Injection nedir ve gerekli durumlarda kullanıldığında nasıl etkili sonuçlar verdiğini sizlere aktarmaya çalışacağım. Şimdiden güzel yorum yapan ve beğenen herkese teşekkür ederim
HTML INJECTİON NEDİR?: HTML Injection, kötü niyetli bir kullanıcının bir web sitesine kendi HTML kodunu enjekte etmesi anlamına gelir. Bu güvenlik açığı, genellikle kullanıcı girdilerinin düzgün şekilde filtrelenmemesi veya doğrulanmaması nedeniyle ortaya çıkar.
HTML Injection iki çeşittir. Bunlar;
• Reflected HTML Injection
• Sorted HTML Injection
Peki bu iki çeşit injection arasında ne tür farklar vardır? Gelin bunu inceleyelim.
1. REFLECTED HTML INJECTİON: Bir hackerın girdiği kötü amaçlı HTML kodu hemen anında yanıt olarak sayfada döner. Örneğin form alanına;
HTML:
<h1>Hacked By TurkHackTeam</h1>Şeklinde bir HTML kodu girdiğinizde eğer ki o sayfada düzgün bir filtreleme veya yapılandırma yoksa sayfayı yenilediğiniz anda sayfanın başına bir başlık yazısı belirir. Bu anlık olarak yenilenir ve sonucu hemen etkili olur.
2. SORTED HTML INJECTİON: Bir hackerın girdiği kötü amaçlı HTML kodu eğer ki sitede aynı şekilde filtre ve yapılandırma düzgün değilse bu kod veritabanına kaydedilir. Bunun sonucunda da birçok kullanıcıya bu kod gösterilir. Örnek olarak bir sitenin yorum kutusuna;
HTML:
<script>alert('Hacked By TurkHackTeam');</script>Yazıp entera basarsanız sayfayı her yenilediğiniz anda sayfanın en üstünde siteye her giren kullanıcıya bu mesaj pop-up olarak gösterilir.
HTML Injection sayfanın yapısını tamamen bozabilir, kullanıcıları sahte formlara yönlendirerek kimlik avı yapılabilir, kullanıcıların çerezleri çalınabilir ve kötü amaçlı JavaScript kodları çalıştırarak daha büyük saldırılara kapı açabilir. Yani kısacası etkisi çok büyüktür.
Bu tür saldırılardan nasıl korunabiliriz bunları da ele alalım;
Sitenize ilk önce girdi doğrulama mutlaka ekleyin. Yalnızca izin verdiğiniz karakterde girdilerin kabul edilmesini sağlayın.
Python da Bleach ve JavaScript te DOMPurify kullanarak zararlı içerikleri temizleyebilirsiniz. Bu modüller hakkında detaylı bilgi ayrı bir konu olarak gelecek.
Eğer ki siteniz kullanıcıdan gelen verileri doğrudan sayfada görüntüleyen bir sisteme sahipse bu güvenlik önlemlerini mutlaka almanız gerekir.
Sanal makine üzerinden Beeware kurup Beeware in kendi resmi sitesinde bu HTML Injection açığını test edebilirsiniz. İlerde birgün mutlaka işinize yarayabilir. Ancak şu anda birçok site bu tür saldırılara karşı geniş güvenlik önlemine sahip. Gene de bilmekte fayda var
Bu konunun da sonuna geldik. Başka bir konuda tekrar görüşmek üzere, kendinize iyi bakın
