Arkadaşlar.
Bugün Sizlere Biraz XSS’den bahsedeceğim.Xss nasıl bulunur?Nerelerde bulunur?Xss ile neler yapılır?Vereceği Zararlar Nedir? ve de Xss bulduğumuz Siteye nasıl uyarı yaparız?Nasıl uyarı maili göndeririz?
Konuyu açmaktaki amacım sizlerin Türk sitelerini,bizlere hizmet eden islami,dini yada ülkemizde bulunan her türlü siteleri uyarmak olucaktır.
Lütfen Bunu Allah RIZASI İçin Yapın..
Konuya giriş yapmadan önce bir resim göstermek istiyorum size.
Bir Risale Sitesini uyardım , site sorumlusunun bana attığı cevaba bakın ;
Alacağımız sonuç budur işte arkadaşlar."Allah razı olsun "
Şimdi direk konuya geçiyorum ;
Xss hakkında her şeyi bu konuda bulabilirsiniz.Bu yüzden ben fazla üstünde durmayacağım.
Neler yapılır,neler olur vs. vs. hepsi üstteki konuda yazılıdır.
Hemen bir örneğe geçelim :
Sitemiz : http://www.jos.nu olsun.
Xss Sitelerin Her Yerinde Olabilir.Fakat Genellikle Arama Bölgelerinde Çok Sık Bulunmaktadır.
İlk önce sitenin asp diliyle mi yoksa php diliyle mi yazıldığına bakacağız.(Neden: Çünkü Xss kodlarının Asp yada Php ait kodları wardır.Yani Asp Xss kodu farklı,Php xss kodu farklıdır)Sitede herhangi bir yere bakalım yada tıklayalım.Mesela Home nin altında "Current Issue" yazıyor tıklayalım oraya.
Journal of Official Statistics: Current Issue
Evet site asp dili ile yazılmış.
Sitenin Arama Bölgesi : Search JOS Online
Xss bir koddur,buraya bu kodu yazacağız.Eğer Alert verirse (Ekrana kod vurursa) bu sitede Xss açığı vardır.
Ayrıca sizlere ben Bu kodları TXT olarak vereceğim.(Tüm Xss kodlarına ulaşabilecek,indirebileceksiniz asp yada php farketmez hepsi)
Mesela bir asp xss kodu deneyelim
Xss kod : =">**********alert(********.cookie)</script>
Bu kodu Arama bölgesine yazacağız(Kopyala/Yapıştır)
Ve yazalım.Submit Query diyelim..
Resme bakın
Bakın Alert Verdi Bu demek oluyor ki bu sitede xss açığı bulunmakta.
Diyelim ki bu kodu yazdık ama alert vermedi?
Bir sitede xss olup olmadığını en basit şekilde aramak istiyorsak sitenin arama bölgesine <h1>xss yazalım
Eğer xss kelimesi ile ilgili hiçbirşey bulunamadı diyorsa xss vardır.
h1xss diyorsa yoktur.
Eğer hiçbirşey yazmıyorsa diğer kodları deneyin xss bulana kadar
Tüm kodlar bendedir,tüm kodları sizlerle paylaşacağım.
İşte arkadaşlar bu şekilde bizler de Türk sitelerinde açık bulabiliriz,onlara uyarı atabiliriz.
Buraya kadar her şey tamam.Sitede xss bulduk.Sonra ne yapabiliriz?
Tekrar yazıyorum ;
Xss hakkında her şeyi bu konuda bulabilirsiniz.Bu yüzden ben fazla üstünde durmayacağım.
Uyarı maili nasıl atılır ?
İlk önce sitenin iletişim bölümüne bakacağız.Sağda solda aşağıda en altta genellikle bulunur.Mail adresi alıp mail atabilirsiniz.Ya da iletişim bölümleri vardır.Oradan da uyarı mesajı atabilirsiniz.
Benim kendi elimle yazdığım bir belge var.Buraya kopyalıyorum;
Merhabalar.
Sitenizde dolaşırken bir açıklık tespit ettim.
Açıklık Bulunan Yer > Sitenizdeki arama bölümüdür.(Tüm Arama Bölgeleri)
Açığa eklenen xss koduyla şu şekli alıyor ;
Örnek ; alert(********.cookie)www.xxxx.com/search.asp?=>**********alert(********.cookie)</script> gibi.
Xss Kodumuz : (Buraya xss kodunu yazacaksınız.Ben örnek veriyorum) =">**********alert(********.cookie)</script>
Eğer buradaki xss açığı en kısa zamanda kapatılmaz ise kötü niyetli insanlar veya hackerlar tarafından sitenizde bulunan bir çok " cookie " çalınabilir.Admin şifresi alıp giriş yapılabilir.Bunun sonucunda siteniz hacklenebilir.
Yapabilecekleriniz ; Zararlı karakterleri filtrelemek(yasaklamak)tır.
Not: Mesaj elinize ulaştığında ulaştığına dair bir mesaj atarsanız sevinirim.
Ayrıca açıklığı nasıl kapatacağınızı da bilmiyorsanız sizlere yardımcı da olabilirim.
Ve de son olarak diyelim ki siteyi uyardık , cevap da geldi fakat site sahibi xss açığını kapatmayı bilmiyor.Aşağıda vereceğim download linklerden "XSS VE SQL İNJ KAPATMA" adlı dosyayı ona atabilirsiniz.O belgeye bakıp xss ve sql injection açıklıklarını kapatabilir.
Daha NE OLSUN ? Yapmanız Gereken Sadece HİZMET etmek..
İşte bu kadar arkadaşlar.
Sonucu ne olarak HayBer kardeş ?
Sonuç bu olacak.Bir Dua alacağız..
Ve geldik Xss kodlarımıza,uyarı metin belgemize,xss ve sql inj acıgı kapatmaya.
Kendi Uploadim :http://rapidshare.com/files/23284295...rhackz.com.rar
Rar Şifresi: moriyana
Not:Buradaki tüm yazılar bana aittir.
Xss kodlarını,xss bulduk nasıl uyarı atıcaz vs. hepsini ben aradım,araştırdım , hepsini ben araştırarak öğrendim.Kimse bana öğretmedi.Ve de bu bilgiyi sizlerle paylaşıyorum..
Size sadece site bakıp,arama bölgesine kod yapıştırmak olacak.Buldunuz mu ? Hemen c/p ile o boş yerleri doldurarak onlara mail atmanız kalacaktır.
İnşAllah hizmet edersiniz.Hizmet dahilinde kullanmanız dileğiyle..
Amacım
Ülkemizde faaliyet gösteren faydalı sitelerin açıklarını kendilerine uyararak
ya da gerekli iletişim şekilleri ile yardımcı olarak kapatmaya çalışıcağız.
Allah hepinizin yardımcısı olsun..
Bugün Sizlere Biraz XSS’den bahsedeceğim.Xss nasıl bulunur?Nerelerde bulunur?Xss ile neler yapılır?Vereceği Zararlar Nedir? ve de Xss bulduğumuz Siteye nasıl uyarı yaparız?Nasıl uyarı maili göndeririz?
Konuyu açmaktaki amacım sizlerin Türk sitelerini,bizlere hizmet eden islami,dini yada ülkemizde bulunan her türlü siteleri uyarmak olucaktır.
Lütfen Bunu Allah RIZASI İçin Yapın..
Konuya giriş yapmadan önce bir resim göstermek istiyorum size.
Bir Risale Sitesini uyardım , site sorumlusunun bana attığı cevaba bakın ;
Alacağımız sonuç budur işte arkadaşlar."Allah razı olsun "
Şimdi direk konuya geçiyorum ;
Xss hakkında her şeyi bu konuda bulabilirsiniz.Bu yüzden ben fazla üstünde durmayacağım.
Neler yapılır,neler olur vs. vs. hepsi üstteki konuda yazılıdır.
Hemen bir örneğe geçelim :
Sitemiz : http://www.jos.nu olsun.
Xss Sitelerin Her Yerinde Olabilir.Fakat Genellikle Arama Bölgelerinde Çok Sık Bulunmaktadır.
İlk önce sitenin asp diliyle mi yoksa php diliyle mi yazıldığına bakacağız.(Neden: Çünkü Xss kodlarının Asp yada Php ait kodları wardır.Yani Asp Xss kodu farklı,Php xss kodu farklıdır)Sitede herhangi bir yere bakalım yada tıklayalım.Mesela Home nin altında "Current Issue" yazıyor tıklayalım oraya.
Journal of Official Statistics: Current Issue
Evet site asp dili ile yazılmış.
Sitenin Arama Bölgesi : Search JOS Online
Xss bir koddur,buraya bu kodu yazacağız.Eğer Alert verirse (Ekrana kod vurursa) bu sitede Xss açığı vardır.
Ayrıca sizlere ben Bu kodları TXT olarak vereceğim.(Tüm Xss kodlarına ulaşabilecek,indirebileceksiniz asp yada php farketmez hepsi)
Mesela bir asp xss kodu deneyelim
Xss kod : =">**********alert(********.cookie)</script>
Bu kodu Arama bölgesine yazacağız(Kopyala/Yapıştır)
Ve yazalım.Submit Query diyelim..
Resme bakın
Bakın Alert Verdi Bu demek oluyor ki bu sitede xss açığı bulunmakta.
Diyelim ki bu kodu yazdık ama alert vermedi?
Bir sitede xss olup olmadığını en basit şekilde aramak istiyorsak sitenin arama bölgesine <h1>xss yazalım
Eğer xss kelimesi ile ilgili hiçbirşey bulunamadı diyorsa xss vardır.
h1xss diyorsa yoktur.
Eğer hiçbirşey yazmıyorsa diğer kodları deneyin xss bulana kadar
Tüm kodlar bendedir,tüm kodları sizlerle paylaşacağım.
İşte arkadaşlar bu şekilde bizler de Türk sitelerinde açık bulabiliriz,onlara uyarı atabiliriz.
Buraya kadar her şey tamam.Sitede xss bulduk.Sonra ne yapabiliriz?
Tekrar yazıyorum ;
Xss hakkında her şeyi bu konuda bulabilirsiniz.Bu yüzden ben fazla üstünde durmayacağım.
Uyarı maili nasıl atılır ?
İlk önce sitenin iletişim bölümüne bakacağız.Sağda solda aşağıda en altta genellikle bulunur.Mail adresi alıp mail atabilirsiniz.Ya da iletişim bölümleri vardır.Oradan da uyarı mesajı atabilirsiniz.
Benim kendi elimle yazdığım bir belge var.Buraya kopyalıyorum;
Merhabalar.
Sitenizde dolaşırken bir açıklık tespit ettim.
Açıklık Bulunan Yer > Sitenizdeki arama bölümüdür.(Tüm Arama Bölgeleri)
Açığa eklenen xss koduyla şu şekli alıyor ;
Örnek ; alert(********.cookie)www.xxxx.com/search.asp?=>**********alert(********.cookie)</script> gibi.
Xss Kodumuz : (Buraya xss kodunu yazacaksınız.Ben örnek veriyorum) =">**********alert(********.cookie)</script>
Eğer buradaki xss açığı en kısa zamanda kapatılmaz ise kötü niyetli insanlar veya hackerlar tarafından sitenizde bulunan bir çok " cookie " çalınabilir.Admin şifresi alıp giriş yapılabilir.Bunun sonucunda siteniz hacklenebilir.
Yapabilecekleriniz ; Zararlı karakterleri filtrelemek(yasaklamak)tır.
Not: Mesaj elinize ulaştığında ulaştığına dair bir mesaj atarsanız sevinirim.
Ayrıca açıklığı nasıl kapatacağınızı da bilmiyorsanız sizlere yardımcı da olabilirim.
Ve de son olarak diyelim ki siteyi uyardık , cevap da geldi fakat site sahibi xss açığını kapatmayı bilmiyor.Aşağıda vereceğim download linklerden "XSS VE SQL İNJ KAPATMA" adlı dosyayı ona atabilirsiniz.O belgeye bakıp xss ve sql injection açıklıklarını kapatabilir.
Daha NE OLSUN ? Yapmanız Gereken Sadece HİZMET etmek..
İşte bu kadar arkadaşlar.
Sonucu ne olarak HayBer kardeş ?
Sonuç bu olacak.Bir Dua alacağız..
Ve geldik Xss kodlarımıza,uyarı metin belgemize,xss ve sql inj acıgı kapatmaya.
Kendi Uploadim :http://rapidshare.com/files/23284295...rhackz.com.rar
Rar Şifresi: moriyana
Not:Buradaki tüm yazılar bana aittir.
Xss kodlarını,xss bulduk nasıl uyarı atıcaz vs. hepsini ben aradım,araştırdım , hepsini ben araştırarak öğrendim.Kimse bana öğretmedi.Ve de bu bilgiyi sizlerle paylaşıyorum..
Size sadece site bakıp,arama bölgesine kod yapıştırmak olacak.Buldunuz mu ? Hemen c/p ile o boş yerleri doldurarak onlara mail atmanız kalacaktır.
İnşAllah hizmet edersiniz.Hizmet dahilinde kullanmanız dileğiyle..
Amacım
Ülkemizde faaliyet gösteren faydalı sitelerin açıklarını kendilerine uyararak
ya da gerekli iletişim şekilleri ile yardımcı olarak kapatmaya çalışıcağız.
Allah hepinizin yardımcısı olsun..
