İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

” XSS Başlangıç

01-09-2011 06:58
#1
xLargeViP - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2011
Nereden:
Microsoft
Yaş:
30
Mesajlar:
781
Teşekkür (Etti):
74
Teşekkür (Aldı):
159
Konular:
116
Ticaret:
(0) %
//Alıntı

XSS Nedir?

XSS İsminden Anlaşıldığı gibi Scriptlerde Oynama Yapılarak Düzenlenilen Saldırıdır.Saldırıda Sitenin Herhangi Bir Yerine Çeşitli Script Kodları Yerleştirilerek Yapılabilmektedir (HTML,Javascript vb.) Yerleştireceğimiz Kodlarla site admin cookielerine ulaşarak sisteme giriş yapabileceğimiz saldırı türüdür. XSS Scriptlerde ki Açık türüdür XSS Açıkları Arama Bölümlerinde , Profil Panellerinde , Haber Modüllerinde vs. Bulunur XSS’deki Amaç Yukarıda ki Modüllere Ufak Script Kodları ekleyerek Sitelere Hata Verdirmek yada Yönlenmesini Sağlamaktır.

XSS Genellikle PHP-Nuke ya da PHP İle Yapılmış Web Sitesi Sistemlerinde Kullanılır Yalnızca bu sistemlerde Değil ASP Sistemlerde de Kullanılabilir. ASP Sistemlerde Genelde SQL Injection Denilen İllegal Saldırı türleri Yapılmaktadır ama Bu ASP Sitemlerde XSS Bulamayacağımız Anlamına Gelmez.

XSS Açığını Bulma

XSS Açığının Bulunması İçin Çeşitli Programlar Ve Uygulamalar Yazılmıştır. Bu Uygulamalar Ve Programlar İşimizi Kolaylaştırmak İçindir ama İnsan Hazıra Alışırsa Sürekli Hazır Bişeyler İster Ve Kendini Geliştiremez bu Yüzden Manuel Bulmak En İyisidir Ve Zaten Manuel bulma Yöntemi de Düşünüldüğü Kadar Zor biş İşlem Değildir.

XSS Açığımızı Bulmak İçin Çeşitli Kodlarımız Mevcuttur Bu Kodları Sitenin search kısımlarına , kullanıcı giriş inputlarına , iletişim kısımlarına , ziyaretçi defteri kısımlarına kısacası sisteme veri post edebileceğimiz herhangi bi alana Yazarak XSS Açığının Olup Olmadığını Kontrol Edebiliriz.

XSS Açıkları Kolay Ve Basit Gözükse de Göz Ardı Edemeyeceğimiz Bi Açıktır Eğer Sitemizde XSS Açığı Mevcut İse Saldırganlar Bunu Fark Edipte Sitemizde Kodlarla Uygulama Yaparlarsa Sitede ki Kullanıcı adı ve şifre Bilgilerimize Ulaşabilirler Ve Sitemize Zarar Verebilirler bu Yüzden Sitemizin Tasarımını yaparken Sitemizi Kodlarken Kodlamada Özen Göstererek Ve Yaptığımız Kodlamayı süzerek Sitemizi Tasarlamalıyız.

Örnek Olarak Kullanacağımız XSS Kodlarını Vereceğim Bu Kodları Google’de Veya CW’de araştırarak Daha Geniş Bilgilere Ulaşabilirsiniz :

**********alert(********.cookie)</script>
">**********alert("EFV@L")</script>
<bOdy onLoad="while(true) alert(’XSS’);">
<scrscriptipt>alert(1)</scrscriptipt>
’);alert(’own’);//

Yeni Başlayanlar İlk Olarak Bu Kodları Arama Bölümlerinde Profil Panellerine Ekleyerek Deneyebilirler Daha Sonra Dediğim Gibi Google’yi Araştırarak Daha Çeşitli Kodlara Ve Daha Detaylı Bilgilere Ve Yöntemlere ulaşabilirler.

Mevcut Kodlarımız Elimizde Peki Ya Nasıl Site Bulabiliriz Diyorsanız XSS Genelde Arama Bölümlerinde Mevcuttur Bu yüzden XSS Uygulayabileceğimiz Siteyi Aramak İçin Arama Bölümlerinin olduğu Yerleri Çeşitli Arama Motorlarından (Google , Yahoo , Bing , vb) Aratarak XSS Açığının Olup Olmadığını Kontrol Edebiliriz.

İşte XSS Açığının Olup Olmadığını Kontrol Edeceğimiz Google Dorkları Şunlardır :

inurl:Search.php

inurl:Search.asp

inurl:arama.php

inurl:Arama.asp

Kullanacağımız Dorklar Bunlardır Sizde Bunları kullanabilirsiniz Ama Kendinize Alternatif Bularak daha Çok Siteye Ulaşmanız Mümkündür.

Peki Her şey Tamam Arama Dorklarımız Gerekli Kodlarımız Elimizde Peki XSS Açığının var Olup Olmadığını Nasıl Anlayacağız Diyorsanız İşte Şöyle.

Google Dorkumuzu Kullanarak Aramamızı Yapıyoruz.


Arama Sonuçlarımızdan Bi Tane Site Seçerek O site Üzerinde Deneme Yapıyoruz Eğer XSS Açığı Varsa Nasıl Bi Hata İle Karşılaşacağımızı Göreceğiz.




Evet Görüldüğü Gibi XSS Açığımızı Bulduk.
ati08 Teşekkür etti.

01-09-2011 22:23
#2
shapethis - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2011
Mesajlar:
80
Teşekkür (Etti):
11
Teşekkür (Aldı):
4
Konular:
20
Ticaret:
(0) %
Tamam açığı bulduk da devamında ne yapmalıyız kardeeş
01-09-2011 22:48
#3
Margu - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2010
Mesajlar:
2.944
Teşekkür (Etti):
263
Teşekkür (Aldı):
643
Konular:
1669
Ticaret:
(0) %
Konu zaten mevcut.


inanmayan bakabilir

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı