Header Ads

Cross Site Scripting (XSS)

Merhaba CyberGuilty Okurları;

Bugün konumuzu "Cross Site Scripting (xss)" olarak belirledik.
"Cross Site Scripting"; Çapraz Kod Çalıştırma anlamına gelmektedir.
Cross Site Scripting açığı, dinamik web uygulamalarında oluşan bir güvenlik açığıdır. Geçmişte bu açık yaygın  olsa da günümüzde pek fazla yaygın değildir. Ancak bu açık önemli açıklar arasında yer almaktadır.

Cross Site Scripting açığı , en çok POST ve GET metotlarının kullanılmış olduğu bölümlerde meydana gelmektedir. POST ve GET metotlarının kullanım alanlarına örnek verecek olursak; arama yapma alanları, galeri alanı, yorumlar gibi alanlarda meydana gelmektedir. 

Cross Site Scripting enjekte edildiği bazı taglar şöyledir : <embed>, <object> ... bu taglar sayesinde bir hacker, cross site scripting enjekte edebilir. Cross Site Scripting açıklarının olup olmadığını kontrol etmek için bazı kodlar şu şekildedir. 
<script>alert("CyberGuilty")</script>
Yukarıdaki cross site scripting kodu arama alanlarına yazdığımız zaman ekrana "CyberGuilty" şeklinde alert, yani bir uyarı çıkarmaktadır.
Yukarıdaki cross site scripting kodu, cookie bilgilerini ekrana uyarı şeklinde yazmaktadır. Bu kodlar, açık aramada en çok kullanılan kodlardır.

Flash web sitelerinde de cross site scripting açığı bulunabilmektedir. Flash web sitelerde kullanım da aşağıdaki kod kullanılmaktadır.
getURL()
getURL metodu ile açık arama aşağıdaki gibi olmaktadır.
getURL("javascript:alert(CyberGuilty)")
Yukarıda yazılan kod ekrana "CyberGuilty" şeklinde ekrana uyarı çıkarmaktadır.
Cross site scripting açıklarında en çok kullanılan browser Opera'dır. Cross site scripting kodları hex'e dönüştürelebilmektedir.

CyberGuilty INC. Blogger tarafından desteklenmektedir.