# XSS ile Cookie'in mi Çalındı (Hesabını mı Çaldılar) ? Dert Değil Ben Sana İnanırım #

P4$A · 4 Ocak 2024

ArchieN' Alıntı:
Eline sağlık.

Sağol arch

RUBYEFE' Alıntı:
3 ya da 4 gün önce Youtube'da rast gelmiştim. Adam salağa anlatır gibi 40 dakikada localhost açıp yapmıştı.
Elinize sağlık.

ben 10 dk lık makale yazdım, hangi kanal anlatmış ?

ExeOweR' Alıntı:
log log log

aklıma iyi şeyler gelmedi

Kamutay' Alıntı:
Elinize sağlık hocam

sağ ol

404Qea' Alıntı:
elinize emeğinize sağlık

sağ ol

Umutsuz78' Alıntı:
Hocam değişik anlatım şekliniz var ama sanki birine sinirle açılmış gibi ama akilda kalıcı olmuş elinize sağlık

tarz farkı

Lihtg' Alıntı:
Hastayım böyle anlatıma elinize sağlık

Teşekkürler

Suppressor' Alıntı:
Eline sağlık abi.

Sağol caney

aslan aslan' Alıntı:
Eline sağlık hocam.

eyw

Elif' Alıntı:
Güzel anlatım,

PHP: session_regenerate_id - Manual

www.php.net

incelemek isteyen arkadaşlar için.

Sağ ol dostum

The Gölge' Alıntı:
Yine kendine bağlayan bir tarzla güzel bir konu olmuş cano eline sağlık

Sana bir şey demiyorum

drjacob' Alıntı:
eline sağlık

sağ ol dostum

S3SS1Z T3AM' Alıntı:
Elinize kolunuza sağlık hocam

<3

Floria1' Alıntı:
eline sağlık abi

thanks beybisi

tamam ağa' Alıntı:
Sizler high levellerde önlemler aldığınız sürece biz low leveller sürekli bir delik bulacaktır.
konuda keşke argo emoji olmasaydı yemek yiyordum.

Tarz farkı işte ne yapcaksın milletin aklında tutmak lazım böyle şeyleri

H@cked BaBy' Alıntı:
Muq

Muq olan sizler ve yapacaklarınızdır

'Mergen' Alıntı:
Eline sağlık hocam okuması keyifli bir içerik olmuş

Sağ ol mergenim

Butcherb3y' Alıntı:
Elinize sağlık

Teşekkürler

OBT is HeRYerDe' Alıntı:
Eline Sağlık Abi.

İnş anladın obt

berkebapli · 4 Ocak 2024

P4$A' Alıntı:
Her zamanki gibi suçu veya 'u developer'a atıyoruz ya şimdi onlarında bir önlemi olmalı, hepimiz insanız hesaplarımız çalınabilir,
2 ayda, 1 kere abdest misali twitter da xss çıkıyorsa suç kullanıcının olamaz herhalde
Bu kuralları biz yazıcaz kardeş bu işin babası bizler olup, öğreticez tıpkı 13 double atmayı bize öğreten atilla misali.

Neyse boşu da yaptığımıza hoca ver başlığı:
" session_regenerate_id Nedir ??? "
PHP'de oturum yönetimi ve bunların güvenliğinin sağlanması hem bir o kadar kolay hem de bir o kadar zor gibi gözükür.
Bilindiği üzere xss vb. zafiyetli açıklar genelde bizim cookielerimizi çalarak kendi cookie değerleri ile değiştirip hesaplarımızı devr almak amaçtır.
"XSS lead to Account TakeOver" ismi ile search ederseniz tonla google da kaynak bulabilirsiniz.
https://infosecwriteups.com/weaponizing-reflected-xss-to-account-takeover-ae8aeea7aca3 gibi
şimdi gelelim nedir bu session_regenerate_id ?
Aslında çok basit eksi seviyedeki ingilizce bilen de anlıyor.
session_regenerate_id fonksiyonu, PHP'deki oturum yönetimi sırasında kullanılır. Temel olarak, bu fonksiyon oturum kimliğini günceller ve mevcut oturum verilerini yeni oturuma kopyalar. Eski oturum etkisiz hale gelir.

Birde bunu uygulamalı olarak anlatayım kod bu

PHP:

<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <meta name="viewport" content="width=device-width, initial-scale=1"> <title>P4$A</title> <style type="text/css"> h2{ text-align: center; color: darkred; } body{ background-color: black; } </style> </head> <body> <?php session_start(); $old_session = session_id(); session_regenerate_id(); $new_session = session_id(); echo "<h2>Old: $old_session</h2>"; echo "<h2>New: $new_session</h2>"; ?> </body> </html>

Şu şekilde anlatayım,
şuan bende sarı ile seçili sessiona sahibim.

Sayfaya f5 atıyorum bir daha bakın,

yeni sessionum hemen geliyor, eskisi patladı gitti.
Oturum sonlanmadı, cookie'nizi çalan enayinin elinde patladı o session_id .
Hadi öptüm bb.

eline sağlık hocam

# XSS ile Cookie'in mi Çalındı (Hesabını mı Çaldılar) ? Dert Değil Ben Sana İnanırım #

P4$A

Anka Emektar

PHP: session_regenerate_id - Manual

berkebapli

Yeni üye

Sosyal medya sayfalarımız