Cross Site Scripting

XSS için 3 temel XSS türünü inceliyoruz.

  1. Reflected XSS : Bu XSS türünde yazdığımız javascript kodu doğrudan sayfamızda çalışır. Herhangi bir yerde depolanmaz. Çalıştırdığımız anda etkisini görürüz. Bu tür zaafiyetler cookie çalma gibi amaçlar için kullanılabilir.
  2. Stored XSS : Bu türde ise yazdığımız kod veritabanında depolanır ve tekrar çağırılabilir. Örnek olarak bir blogda yazılmış yorum xss şeklinde çalışıyorsa, yorum veritabanında saklandığı için Stored XSS olarak kabul edilir.
  3. DOM XSS : DOM manipülasyonu üzerinden çalışır. JS Frameworklerindeki açıklar vs kullanılarak yapılabilir. Örneği şu şekildedir :

Örnek olarak burada url parametresi hash (#) işaretinden sonrasını alıp innerHtml ile bir html elementinin içine basılır. Bu yüzden url parametresine # işaretinden sonra XSS payloadımızı yazdığımızda XSS çalışmasını sağlarız.

 

Engellemek için yapabileceklerimiz şunlardır :

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.