THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

XSS Açık ve Hacking XSS Döküman Geniş Anlatım

JohnDoe - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2013
Nereden:
Teşkilat
Yaş:
34
Mesajlar:
2.717
Konular:
572
Teşekkür (Etti):
805
Teşekkür (Aldı):
929
Ticaret:
(0) %
14-09-2015 14:33
#1
XSS Açık ve Hacking XSS Döküman Geniş Anlatım


Merhabalar,

XSS, cross scripting olarak'da bilinen XSS hakkındaki bir çok bilgi dökümanına ulaşabileceğiniz makale konusuna hoşgeldiniz.

HTML, etiketlerinin (tags/etiket) kötüye kullanımına dayalı bir metod'dur. Bir çok arkadaşımız tam olarak XSS konusunda bilgi sahibi değil. Elbette bilgi sahibi olan arkadaşlarımızın'da bir çok bilgiye dayalı zayıflığı vardır. Bu konu üzerinden arka planda kalan bilgi birikimini paylaşarak aklımıza takılan soru ve diğer problemleri açıklığa kavuşturacağız.

HTML etiketlerinin içerisine eklenen bazı kodlarından kaynaklanan bu problem web sitesi ile ilgili olarak kötü kullanım için yapmış oldukları işlem ile alakalı olarak web sitelerinize zarar verebilir. Sunucunuz üzerinde aktif olarak barınan diğer sitelerede gerektiği zaman sızıntı yaparak sizi mağdur duruma düşürebilir. Sizler'den gizli olacak şekilde bilgi alınarak/çalınmasına önlem almak adına bu makalemiz'de sizlerle önemli bilgileri paylaşacağız. XSS açığı aslında Dinamik olarak tabir edilen sitelerinde oluşan bir güvenlik açığıdır.

XSS açığı ile yapılabilecekleri sıralayacak olursak aslında saymakla bitmez. Çok'da fazla uzunca attack yapılacak diye bir kural yok elbette ancak işi bilen bu konu hakkında bilgi sahibi olan bir çok kişi bunu rahatlıkla yapabilir. XSS biz web site sahiplerine (Injecte edilebilir), (Alert verebilir), (Yönlendirme yaptırabilir), (Cookie yollayabilir), (Yetkisi olduğu sayfayı değiştirebilir) Buna benzer bir çok işlem hakkına sahiptir. Risk çok büyük olmak ile beraber tam bir baş belası olarak'da aslında adlandırabiliriz.

İnternet hayatını çok fazla bilmeyen hatta Hack işine yeni giren ve daha (or, sql, kalinux, dump, upload, injection, vb) konularında bilgi sahibi olmayan bir çok kişi'de bu tekniği rahatlıkla kullanabilir seviyededir. Bir ay 31 gün kimi zaman 30 gün olarak hesaplanır. Belirtmiş olduğumuz bu süre içerisinde 3000 belkide 30000 adet XSS açıklı web sitesi rahatlıkla bulunabilir. Bu siteleri bulmak için bir çok program mevcuttur. Script kiddie'ler tarafından sıklıkla yayınlanmaktadır.

XSS, açığı hem bir çok web sitesi sahibi hemde web sitelerini hazırlayan (webmaster, web developer, editor) bir çok ilgili ve yetkili kişiyi hem zor duruma sokabilir hemde mağdur duruma düşürebilir. Bir web sitesine verilen emeği hemen/hemen herkes biliyor. Emeğimizi ziyan etmek, kullanıcı bilgilerini riske sokmak, Alt yapı konusunda zor durumlara düşmek ve buna benzer bir çok üretebileceğimiz sıkıntıya dahil olmamız demektir. XSS konusunda çok dikkatli davranmamız ve hatta site açık tarama programları ile kendimize ait web sitelerini her yapılan yenilikler'de sıklıkla kontrol ederek incelememiz gerekmektedir.

Bu konuda bilgimiz olmasa bile bu işi bilen bir uzman yada developer aracılığı ile bu konuda teknik destek veya yardım alabileceğimizi lütfen unutmayalım. Buradaki amacımız sizlerin XSS konusunda bilgi sahibi olmanız ve tarafımızda bilgi birikimi yüklü olan bir dahiliyi sizlerle paylaşarak sizlerinde bilgi sahibi olmanızı istediğimiz içindir.

XSS türlerini ve XSS açıklı siteleri nasıl bulabiliriz, konusuna'da değinecek olursak tek tek sıralayalım.



XSS TÜRLERİ

STORED : Bu açık ziyaretçi defterleri ve forum tarzı gibi web sitelerinde bulunmaktadır. Risk oranı yüksek veritabanına kaydedilir. Her giren kullanıcı/üye XSS saldırısına mağruz kalabilir. Bu açık ziyaret

REFLECTED : Stored'den tam tersi diyebiliriz. Çok tehlikeli değildir. URL alanların da rahatlıkla bulunabilir ve kullanıcılar hiç bir şekilde etkilenmez.

DOM : Bu kod ise çok zararlı ve trojan enjekte edilebilir konumda index.html, index.html ve benzeri anasayfa, default gibi sayfalara erişim sağlayarak değişiklikler yapılabilir JavaScript zararlı bir şekilde kullanılması süreciyle yapılabilir.

XSS AÇIKLI WEB SİTESİ BULMA

Bir web sitesi üzerinde ID değeri, Arama kutusu, Ziyaretçi defteri ve benzeri gibi yerlerde arayabileceğiniz bir işlemdir.

XSS, açığını arama motoru olan Google üzerinde manuel olarak aramak isterseniz aşağıda sunmuş olduğum kodlar aracılığıyla yapabilirsiniz.

XSS ARAMA DORK KODU

Alıntı:
inurl:”search.php?q=”
XSS AÇIĞINI KULLANMA

POP-UP UYARISI ALMA (ALERT) ;

Alıntı:
www.turkhackteam.org/search.php?q=<s c r i p t>alert("ankatim")</s c r i p t>
HTML KOD ÇALIŞTIRMA

Alıntı:
www.turkhackteam.org/search.php?q=<br><br><b><u>AnkaTim</u></b></s c r i p t>
Eğer'ki bu kod ile bir web sitesi üzerinde (BOLD/KALIN) yazılı bir şekilde yazı görüyorsanız mutlaka o web sitesinde XSS açığı var demektir. XSS açığı olan bir web sitesini bulabildik. Bu vermiş olduğumuz kod ile web site üzerinde JavaScript ve HTML kod çalıştırabileceğimizi anlamış olduk.



XSS SALDIRI YÖNTEMLERİ

1. Aşama ) XSS ile resim ekleme/yükleme;

Web sitesi üzerinden "IMG" ve "SRC" tağı ile web sitesine resim ekleyeceğiz.

Alıntı:
www.turkhackteam.org/search.php?q=<html><b o d y><IMG src= "http://hizliresim.com/turkhackteam.png">
2. Aşama ) Cookie görüntüleme;

Alıntı:
www.turkhackteam.org/search.php?q=s c r i p t alert(s c r i p t.cookie)</script>
3. Aşama ) M E T A -NAME kodu eklemek;

Alıntı:
www.turkhackteam.org/search.php?q=<m e t a http-equiv="s c r i p t" content="0;URL=http://www.turkhackteam.net/">
4. Aşama ) XSS ile dosya upload etmek;

Kod:
<form id="dosyayukle" action="upload.php" method="post"  enctype=-<span class="i06t9mr20"  id="i06t9mr20_8">multipart</span>/form-data">      <input type="file" name="dosya">      <input type="submit" value=-<span class="i06t9mr20" id="i06t9mr20_1">Ajax File Upload</span>->  </form>    <div id="progress">         <div id="bar"></div>         <div id="yuzde">0%</div > </div> <br/>   <div id="mesaj"></div> </div> <br/>   <div id="mesaj"></div>
XSS, ile alakalı olarak aklınıza takılanları konu altından sorabilir ve sorunlarınızı giderebilirsiniz. XSS ile bilmediklerinizi zamanla musait oldukça paylaşmaya devam edeceğim. Diğer dökümanlarıma göz atmak için lütfen `Kaan` kullanıcısının profiline girerek konulara göz atabilirsiniz.

Teşekkür ederim.
--------------------- " TürkHackTeam "Vatan Operasyonu" 4093 Site Hacked [Şehitler Ölmez Vatan Bölünmez ! "
Türkiye'nin tek milli ve yerli #Hack grubu TürkHackTeam'dır. İçiniz rahat olsun biz buradayız.
Konu JohnDoe tarafından (14-09-2015 14:46 Saat 14:46 ) değiştirilmiştir.
Reuters - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Nereden:
Reu Island
Mesajlar:
7.267
Konular:
510
Teşekkür (Etti):
3845
Teşekkür (Aldı):
4967
Ticaret:
(0) %
14-09-2015 14:35
#2
Ellerine saglık
---------------------
Viskiyi iki buzlu, rakıyı sakin, şarabı ılık, birayı köpüklü, çayı şekersiz, kahveyi sade, kendini gülerken seversin...
Ben aşk derim buna, sen solunum...
Sen soluna dönüp sızarsın,
Ben sana bi' daha aşık olurum.
KoyuAdam - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2012
Yaş:
23
Mesajlar:
5.907
Konular:
942
Teşekkür (Etti):
1920
Teşekkür (Aldı):
2330
Ticaret:
(0) %
14-09-2015 14:37
#3
Ellerine sağlık sonunda sağlam bir xss anlatımı paylaşıldı.
--------------------- G101010101010
A010101010101
U101010101010
S010101010101
S101010101010
klankil1 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2013
Nereden:
Trabzon
Mesajlar:
865
Konular:
143
Teşekkür (Etti):
536
Teşekkür (Aldı):
784
Ticaret:
(0) %
14-09-2015 14:37
#4
Eline Sağlık
---------------------
𐰲𐰸:𐰖𐰴𐰦𐰀
Black-Leonx' - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
06/2015
Nereden:
Nereye
Mesajlar:
10.105
Konular:
1187
Teşekkür (Etti):
866
Teşekkür (Aldı):
3555
Ticaret:
(0) %
14-09-2015 14:37
#5
Ellerine Kollarına Sağlık Çok Başarılı Bir Makale
---------------------
TARİHİN TOZLU RAFLARINDA KAYBOLMA O RAFLARA TARİH YAZ !!!

Mümkün Olanı Başarmak İçin İmkansızı Yapmayı Unutma !

Siyah ~ Aslan'
JARET - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2015
Mesajlar:
142
Konular:
6
Teşekkür (Etti):
2
Teşekkür (Aldı):
51
Ticaret:
(0) %
14-09-2015 14:42
#6
Herhangi bir siteyi xss ile hacklerken video atsan da güzel olur.
UNEQUAL - ait Kullanıcı Resmi (Avatar)
Administrator
Üyelik tarihi:
02/2015
Nereden:
İstanbul
Mesajlar:
4.221
Konular:
506
Teşekkür (Etti):
2073
Teşekkür (Aldı):
5076
Ticaret:
(0) %
14-09-2015 14:43
#7
Abi ellerine sağlık, ortalarda sansur olmus sana zahmet ayırabilirsen anlasim kolay olur
JohnDoe - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2013
Nereden:
Teşkilat
Yaş:
34
Mesajlar:
2.717
Konular:
572
Teşekkür (Etti):
805
Teşekkür (Aldı):
929
Ticaret:
(0) %
14-09-2015 14:47
#8
Teşekkür ederim arkadaşlar, sansürlenmiş (vbullettin bad) kelimeye takılanlar düzeltildi.
Paylaşımlar devam edecektir. İlgi ve alakanız için teşekkür ederim.
--------------------- " TürkHackTeam "Vatan Operasyonu" 4093 Site Hacked [Şehitler Ölmez Vatan Bölünmez ! "
Türkiye'nin tek milli ve yerli #Hack grubu TürkHackTeam'dır. İçiniz rahat olsun biz buradayız.
NamelessesMan - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2013
Mesajlar:
2.296
Konular:
122
Teşekkür (Etti):
679
Teşekkür (Aldı):
760
Ticaret:
(0) %
14-09-2015 19:43
#9
Emeğinize sağlık yararlı bir çalışma.
--------------------- Soracağız dediğimiz hesapları sorduk, şimdi acı acı gülüyoruz.
VaiomanTR - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2013
Nereden:
/*\
Mesajlar:
132
Konular:
52
Teşekkür (Etti):
36
Teşekkür (Aldı):
20
Ticaret:
(0) %
14-09-2015 21:11
#10
Yararlanılması gereken bir makale olmuş.
Teşekkürler

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler