Öcelikle selamün aleyküm önceden xss açığı aramak için uğraşmazdık şimdi herkes xss açığı bulup paylaşıyor. Neden bu kadar önemli oldu uzun zamandır foruma girmiyodum. Merak ettim
Moderatör tarafında düzenlendi:
Neden Xss Açığı Bu Kadar Önemli ?
- Konbuyu başlatan SoldieR 57
- Başlangıç tarihi
Cevap: Neden Xss Açığı
Ünvan kasmak için yada kendilerini "hacker" olarak tarif edebilmeleri için olabilir.Hala da sacma geliyor sabahtan tarama programını açıp onu bekleyip hackledim diye paylaşmak.
Yani Kısaca Göz boyama ve bilgisizlik dneilerim bence.
Ünvan kasmak için yada kendilerini "hacker" olarak tarif edebilmeleri için olabilir.Hala da sacma geliyor sabahtan tarama programını açıp onu bekleyip hackledim diye paylaşmak.
Yani Kısaca Göz boyama ve bilgisizlik dneilerim bence.
BlacKFanny
Katılımcı Üye
- 1 Ocak 2020
- 615
- 4
Cevap: Neden Xss Açığı
Mesela sql açığı bulmak kolay bazen database den veri cekemiyorsun istediğin hedef sitede sql açığı olamıyor xss acigi öyle değil her sitede bulunabilir genellikle arama kutularında, yorum kutularında falan bulunuyor. Ve bir siteye xss açığını belirttiğin zaman bazen ufak hediyeleri oluyor site sahiplerinin umarım anlatabilmisimdir.
Mesela sql açığı bulmak kolay bazen database den veri cekemiyorsun istediğin hedef sitede sql açığı olamıyor xss acigi öyle değil her sitede bulunabilir genellikle arama kutularında, yorum kutularında falan bulunuyor. Ve bir siteye xss açığını belirttiğin zaman bazen ufak hediyeleri oluyor site sahiplerinin umarım anlatabilmisimdir.
- 8 Eyl 2016
- 1,646
- 999
Cevap: Neden Xss Açığı
XSS açığı paylaşan çoğu kişi bug bounty programları dahilinde olan sistemlerden zafiyetler tespit edip HoF alıyorlar, ödül alıyorlar diyebilirim kısacası. XSS önemsiz değil aksine çok kritik bir zafiyet ama kullanabilen için. Sen reflected xss ile ekrana yazı bastırıp hack yaptım sistemin içinden geçtim diyen kişilerden bahsediyorsan haklısın. Ayrıca XSS açığı her sitede bulunabilir diye bir şey yok. Bir web sitesinin göze çarpan belli noktalarında XSS tespit edilmesi yazılımcının kontrolsüzlüğünün etkisiyle çok kolay bulunabilir bir hal alıyor saldırgan veya araştırmacılar için.
XSS açığı paylaşan çoğu kişi bug bounty programları dahilinde olan sistemlerden zafiyetler tespit edip HoF alıyorlar, ödül alıyorlar diyebilirim kısacası. XSS önemsiz değil aksine çok kritik bir zafiyet ama kullanabilen için. Sen reflected xss ile ekrana yazı bastırıp hack yaptım sistemin içinden geçtim diyen kişilerden bahsediyorsan haklısın. Ayrıca XSS açığı her sitede bulunabilir diye bir şey yok. Bir web sitesinin göze çarpan belli noktalarında XSS tespit edilmesi yazılımcının kontrolsüzlüğünün etkisiyle çok kolay bulunabilir bir hal alıyor saldırgan veya araştırmacılar için.
"Eskiden XSS açığı için bu kadar uğraşmazdık" cümlesi ile tam olarak hangi yılları kastediyorsun bilmiyorum ama yukarıdaki tablodan da görebileceğin gibi Cross-Site Scripting (XSS) açığı 2013'ten -ki muhtemelen daha öncesinden- beri OWASP Top 10 listesindeki yerini koruyor. Bir konu hakkında genel bir kanıya varabilmek için kısıtlı alanlardan ziyade (sadece bu forumda veya sadece ülkemizde gibi) global ölçekte inceleme yapmak gerekir.
- 29 Mar 2020
- 408
- 5
XSS açığı, ziyaretçinin girdiği veriyi, girdiği şekilde ekrana yansıtmak demektir. Haliyle JavaScript geniş olduğundan etkili bir dil olunca faydaları büyük olduğu gibi zararları da büyük olabilir.
Kapatması aşırı basittir. Yazılımcı ekrana yansıttığı bütün değişkenleri tek tek kontrol eder ona göre müdahale edip filtreler. Ona ek olarakta Content-Security-Policy'yi script-src: 'self' şeklinde veya script-src: https://cdn.sitem.com şeklinde javascript kodlarının ekrana yansıtılmayacağını belirterek gerçekten de XSS saldırılarına tabiri caizse bir elmas kılıçla vurup kırabilir.
Farkındayım 5 dakika da XSS açığının mantıklarını anlayabildiğinizden belki de bu yüzden çok kolay geldiğinden önemsiz geliyo, ama tehlike mevcutsa demek ki önemlidir. Bu yüzden XSS açıkları önemlidir.
Kapatması aşırı basittir. Yazılımcı ekrana yansıttığı bütün değişkenleri tek tek kontrol eder ona göre müdahale edip filtreler. Ona ek olarakta Content-Security-Policy'yi script-src: 'self' şeklinde veya script-src: https://cdn.sitem.com şeklinde javascript kodlarının ekrana yansıtılmayacağını belirterek gerçekten de XSS saldırılarına tabiri caizse bir elmas kılıçla vurup kırabilir.
Farkındayım 5 dakika da XSS açığının mantıklarını anlayabildiğinizden belki de bu yüzden çok kolay geldiğinden önemsiz geliyo, ama tehlike mevcutsa demek ki önemlidir. Bu yüzden XSS açıkları önemlidir.
