Günümüzde Linux için birçok tool (araç) hazırlanmış ve kullanılmaktadır. Bu araçlar birbirinden farklı özelliklere sahip ve farklı amaçlar uğruna çalışmaktadırlar. Bu araçlardan bazıları hedef web sitede çeşitli açıklar arayarak işimizi kolaylaştırmaktadır. Bugün de göreceğimiz araç Linux için önemli bir web zafiyeti tarama programıdır. Bu araç bize XSS adı verilen açık türünü gösterecek böylece zamandan tasarruf edebileceğiz.
XSSER Aracı Nedir?
XSSER aracı Linux üzerinde hazır olarak bulunan XXS (Cross Site Scripting) açığını tespit etmek adına kullanılan bir zafiyet tespiti aracıdır.
XSS açığından kısaca bahsetmek gerekirse Cross Site Scripting yani Türkçe karşılığı ile Çapraz Kod Çalıştırma anlamına gelmektedir. Bu açık ile XSS açığı bulunan sitelerde Javascript kodlarını değiştirebilir, silebilir, ekleyebilir gibi site üzerinde değişiklik yapabilme hakkı sunmaktadır.
Peki js komutlarını kullanarak ne yapabiliriz gibi bir düşünce var ise hemen açıklayalım.
Hedef web site de XSS açığı mevcut bunu tespit edip web sitenin js kodlarını kullanma hakkı kazandınız. Bundan sonra sayfanın cookie'lerini alma, web siteye pop-up yolu ile kendi zararlı yazılımı sitenize yönlendirebilme, siteye kendi ındex'inizi eklemek ve zafiyetli siteye zararlı yazılım ekleyerek çeşitli hasarlar verebilme bunlara örnek olabilmektedir.
Bu açıklar küçümsememeliyiz, çünkü saldırı sonuçları ciddi hasarlar verilebilmektedir. Az sonra kullanacağımız olan araç ile kendi sen siteniz de olası bir açığı önleyebilir böylece büyük zararlardan kurtulmuş olabilirsiniz. Ya da bu araç ile bug bounty yapabilir veya kendi ındex'inizi basabilirsiniz.
XSS saldırısını özetleyen bir görsel
XSSER Nasıl Kullanılır?
Bu aracın kullanımı Kali Linux üzerinden yapacağım.
Aracımızı çalıştırmak için ilk olarak terminalimize geliyoruz. XSSER aracı Linux ile birlikte indiği için ek bir kurulum yapmama gerek yok direkt terminale kendi ismini yazmam yeterlidir.
Görüldüğü üzere aracımızın yüklü olduğunu gördük. Şimdi ise aracın parametrelerini öğrenelim.
Bu komut ile aracın hangi parametreler ile hangi işlemleri yapacağını söylüyor. Buraya bilerek görsel eklemedim çünkü biz genel tarama yapacağız, onun parametresini de az sonra göreceğiz.
Son olarak ise aracımızı tarama işlemi için çalıştıracağız. Bunun için basit ve deneme amaçlı bir web site seçtim, bakalım XSS açığını bulabilecek mi göreceğiz.
Bu parametreleri yazdıktan sonra enter yapıyoruz ve taramasını bekliyoruz.
Sonuçlar karşımıza çıkıyor, aracımız 1 tane enjeksiyon taramış ve orada da XSS açığına rastlanmamıştır.
Dakikalar içinde bir web siteyi yarayabilir ve XSS açığını bu araç ile tespit edebilirsiniz. Eğer web siteniz var ise XXSER tarafından bir kontrolden geçirmekte fayda vardır.
XSSER Aracı Nedir?
XSSER aracı Linux üzerinde hazır olarak bulunan XXS (Cross Site Scripting) açığını tespit etmek adına kullanılan bir zafiyet tespiti aracıdır.
XSS açığından kısaca bahsetmek gerekirse Cross Site Scripting yani Türkçe karşılığı ile Çapraz Kod Çalıştırma anlamına gelmektedir. Bu açık ile XSS açığı bulunan sitelerde Javascript kodlarını değiştirebilir, silebilir, ekleyebilir gibi site üzerinde değişiklik yapabilme hakkı sunmaktadır.
Peki js komutlarını kullanarak ne yapabiliriz gibi bir düşünce var ise hemen açıklayalım.
Hedef web site de XSS açığı mevcut bunu tespit edip web sitenin js kodlarını kullanma hakkı kazandınız. Bundan sonra sayfanın cookie'lerini alma, web siteye pop-up yolu ile kendi zararlı yazılımı sitenize yönlendirebilme, siteye kendi ındex'inizi eklemek ve zafiyetli siteye zararlı yazılım ekleyerek çeşitli hasarlar verebilme bunlara örnek olabilmektedir.
Bu açıklar küçümsememeliyiz, çünkü saldırı sonuçları ciddi hasarlar verilebilmektedir. Az sonra kullanacağımız olan araç ile kendi sen siteniz de olası bir açığı önleyebilir böylece büyük zararlardan kurtulmuş olabilirsiniz. Ya da bu araç ile bug bounty yapabilir veya kendi ındex'inizi basabilirsiniz.
XSS saldırısını özetleyen bir görsel
XSSER Nasıl Kullanılır?
Bu aracın kullanımı Kali Linux üzerinden yapacağım.
Aracımızı çalıştırmak için ilk olarak terminalimize geliyoruz. XSSER aracı Linux ile birlikte indiği için ek bir kurulum yapmama gerek yok direkt terminale kendi ismini yazmam yeterlidir.
Kod:
xxserGörüldüğü üzere aracımızın yüklü olduğunu gördük. Şimdi ise aracın parametrelerini öğrenelim.
Kod:
- - help veya -hBu komut ile aracın hangi parametreler ile hangi işlemleri yapacağını söylüyor. Buraya bilerek görsel eklemedim çünkü biz genel tarama yapacağız, onun parametresini de az sonra göreceğiz.
Son olarak ise aracımızı tarama işlemi için çalıştıracağız. Bunun için basit ve deneme amaçlı bir web site seçtim, bakalım XSS açığını bulabilecek mi göreceğiz.
Kod:
xsser -u hedef web site linkiBu parametreleri yazdıktan sonra enter yapıyoruz ve taramasını bekliyoruz.
Sonuçlar karşımıza çıkıyor, aracımız 1 tane enjeksiyon taramış ve orada da XSS açığına rastlanmamıştır.
Dakikalar içinde bir web siteyi yarayabilir ve XSS açığını bu araç ile tespit edebilirsiniz. Eğer web siteniz var ise XXSER tarafından bir kontrolden geçirmekte fayda vardır.
