Selam arkadaşlar size başlıkta belirttiğim gibi açık bulma ve saldırma yöntemlerini anlatcam.
Öncelikle bu açıkları bulabilmek için,Blogları,Forumları,Shoutbox"ları,Yorum kutularını,Arama kutucuklarını deneyerek başlayabilirsiniz.
XSS nasıl çalıştığını bilmiyorsanız onuda verim;
En yaygın olanı. ****>alert(XSS)<\script<
Bu kod düzenlenebilir şeklinde bir "popup' ikazı vercektir.
Bu nedenle bahsettiğimiz eyleri search.php.?q= bunu basit bir websitesinde deneyebilirsiniz http://site.com/search.php?q=********>alert(XSS)<\script>. Büyuk olasilikla çalişacaktir.
Saldiri yöntemleri;
Evet, artık XSS nasıl çalışır bunu öğrendik, simdi de bazı XSS deface metotlarını izah edebiliriz. Deface için kullanılabilecek birçok yöntem vardır ve ben bunlardan en etkili ve en yaygın olanları üzerinde duracağım.
İlki IMG SRC olanıdır. HTML bilmeyenler için IMG SRC, kendisine linklenmiş olan resmi web sitesinde göstermek için kullanılan bir tagdır.
<html><bOdy><İMG> src=*http://site.com/yourDefaceIMAGE.png">
Eğer linki geçerli bir resim linki ile değiştirir, kaydeder ve çalıştırırsanız ne demek istediğimi daha iyi anlayacaksınız.
Şimdi diyelim ki Shoutbox, Commentbox veya siz verilerinizi girdikten ve onayladıktan sonra, girdiğiniz verileri gösteren herhangi bir yer buldunuz. Resmi sayfada gösterebilmek için bir site uygulayabilirsiniz.
<IMG src= Uygulunacak Site .png">
Diğer taglara gerek yok çünkü sayfa onları zaten baridirmamaktir.
Bu resminizin daha büyük görünmesini sağlar ve site net bir şekilde hacklenmiş olur.
Diğer bir yöntemde flash videoların kullanımıdır. Aşağıdaki yöntemle aynıdır ancak biraz daha dolayli bir yöntemdir.
<EMBED src= "http://http://www.site.com/features/xss">
Burada ise, kendisine linklenmiş olan flash video çalıştırılacaktır.
Ya da Pop veya yönlendirme de kullanıyor olabilir
********>window.open( "http://www.google.com/" )</script>
Konu çoğu yerden kaynaklidir..
Öncelikle bu açıkları bulabilmek için,Blogları,Forumları,Shoutbox"ları,Yorum kutularını,Arama kutucuklarını deneyerek başlayabilirsiniz.
XSS nasıl çalıştığını bilmiyorsanız onuda verim;
En yaygın olanı. ****>alert(XSS)<\script<
Bu kod düzenlenebilir şeklinde bir "popup' ikazı vercektir.
Bu nedenle bahsettiğimiz eyleri search.php.?q= bunu basit bir websitesinde deneyebilirsiniz http://site.com/search.php?q=********>alert(XSS)<\script>. Büyuk olasilikla çalişacaktir.
Saldiri yöntemleri;
Evet, artık XSS nasıl çalışır bunu öğrendik, simdi de bazı XSS deface metotlarını izah edebiliriz. Deface için kullanılabilecek birçok yöntem vardır ve ben bunlardan en etkili ve en yaygın olanları üzerinde duracağım.
İlki IMG SRC olanıdır. HTML bilmeyenler için IMG SRC, kendisine linklenmiş olan resmi web sitesinde göstermek için kullanılan bir tagdır.
<html><bOdy><İMG> src=*http://site.com/yourDefaceIMAGE.png">
Eğer linki geçerli bir resim linki ile değiştirir, kaydeder ve çalıştırırsanız ne demek istediğimi daha iyi anlayacaksınız.
Şimdi diyelim ki Shoutbox, Commentbox veya siz verilerinizi girdikten ve onayladıktan sonra, girdiğiniz verileri gösteren herhangi bir yer buldunuz. Resmi sayfada gösterebilmek için bir site uygulayabilirsiniz.
<IMG src= Uygulunacak Site .png">
Diğer taglara gerek yok çünkü sayfa onları zaten baridirmamaktir.
Bu resminizin daha büyük görünmesini sağlar ve site net bir şekilde hacklenmiş olur.
Diğer bir yöntemde flash videoların kullanımıdır. Aşağıdaki yöntemle aynıdır ancak biraz daha dolayli bir yöntemdir.
<EMBED src= "http://http://www.site.com/features/xss">
Burada ise, kendisine linklenmiş olan flash video çalıştırılacaktır.
Ya da Pop veya yönlendirme de kullanıyor olabilir
********>window.open( "http://www.google.com/" )</script>
Konu çoğu yerden kaynaklidir..
Son düzenleme: