1-) XSS Nedir ?
XSS diğer adıyla css(Cascading Style Sheet ile karıştırılan Cross Site Scripting) web uygulamalarında sıklıkla karşılaşılan bir açıktır. XSS saldırısı web sitesine kötü niyetli kodlar eklemektir. XSS saldırılarının bir çok çeşidi mevcuttur. Ben en önemlilerinden bahsedeceğim. Burada anlattığım bilgileri kullanmanız dahilinde oluşacak hiç bir sorumluluğu kabul etmemekteyim.
2-) XSS Açıklarını Bulma
Bu açıkları blogları ve forumları gezerek yada google dork ile bulmanız mümkün. <s c r i p t>alert("xss")</s c r i p t> bu kodu web sitelerinin genellikle yorum alanlarına yazdığınızda XSS yazan bir popup penceresi açılırsa o sitede xss açığı vardır demektir. Bu açık genelde özel blog scriptlerinde oluşan bir açıktır. Bahsettiğim dorku kullanalım.
http://site.com/search.php?q=<s c r i p t>alert("xss")</s c r i p t>
3-) Saldırı Yöntemleri
Artık xss nin ne olduğunu nasıl bulacağımızı öğrendiğimize göre saldırı yöntemlerini öğrenme zamanımız geldi. İmg src(htmlde resim ekleme kodu) en etkili saldırı yöntemlerinden birisidir.
<html><b o d y><IMG src= "http://site.com/yourDefaceIMAGE.png">
Şeklinde kullanılabilir. Yada meta tag ile yönlendirme atabilirsiniz.
Hiç yorum yok:
Yorum Gönder