Cross Site Scripting (XSS)

11 Mayıs 2016

Kullanıcı kontrolündeki girdi üzerinde yeterli denetimlerin olmamasından dolayı oluşan bir zaafiyettir. XSS açıklığı en basit anlamda,; kullanıcıdan alınan girdi tekrardan kullanıcıya yansıtılmasıyla keşfedilebilir.

Örneğin aşağıdaki gibi bir arama yaptığınızı düşünün.

x1 - Cross Site Scripting (XSS)

Arama sonucunda aradığınız değer için  aşağıdaki gibi bir sonuç dönüyor olsun.

x2 - Cross Site Scripting (XSS)

Gördüğünüz üzere girdi yaptık ve girdiğimiz değer bize yansıtıldı. Buna hemen XSS demek doğru değildir. Ancak girdi denetimi yapmış mıdır diye kafalarda bir soru işareti! Bunu denemeler yaparak görebilirsiniz.

Şimdi tekrardan aynı alana aşağıdaki gibi bir girdi yapalım.

<script>alert("gokhan kesici")</script>

Evet şüphelenmekte haklı çıktık. Yazılımcı girdi kontrolü yapmamış ve biz ne verirsek onu bize yansıtıyor.

x3 - Cross Site Scripting (XSS)

Burada girdi alanına bir javascript kodu girdik. Tarayıcılar gelen javascript kodlarını işlediklerinden  tarayıcıya kodun sonucunu yukarıdaki gibi yansıttı.

XSS açıklığı farklı şekillerde karşımıza çıkabilir. İsterseniz gelin bir de XSS türlerine bakalım.

Benzer Gönderiler:

  1. HttpOnly ve Secure Flagleri ile Cookie Güvenliği
  2. X-XSS-Protection
  3. HTML yorum satırlarını istemciye göndermemek
  4. XSS Türleri
Gökhan Kesici
Adanalı. Evli ve bir çocuk sahibi. İstanbul Üniversitesi Bilgisayar Mühendisliği lisans ve İstanbul Şehir Üniversitesi Bilgi Güvenliği Mühendisliği yüksek lisans mezunu.

Kategoriler