XSS (Siteler Arası Komut Dosyası Çalıştırma) nedir?


Siteler Arası Komut Dosyası Çalıştırma

XSS, çok yaygın olarak kullanılan bir güvenlik açığı türüdür. çok yaygın Ve kolayca algılanabilir, ve ayrıca OWASP TOP 10’daki önemli güvenlik açıklarından biridir.

XSS (Siteler Arası Komut Dosyası Çalıştırma) nedir? Bir saldırgan, doğrulama olmadan uygulamanıza güvenilmeyen JavaScript parçacıkları ekleyebilir.

CSN

Bu JavaScript daha sonra hedef siteyi ziyaret eden kurban tarafından yürütülür. Üç türe ayrılır.

  • Yansıyan XSS
  • Saklanan XSS
  • DOM Tabanlı XSS

İçinde Yansıyan XSSbir saldırgan kurbana e-posta, sosyal medya vb. yoluyla hedef uygulamaya bir bağlantı gönderir.

Bu bağlantı, hedef siteyi ziyaret ederken yürütülen bir komut dosyasına sahiptir.

İçinde Saklanan XSSsaldırgan, hedef web sitesine, herhangi biri ziyaret ettiğinde yürütülecek olan kalıcı bir komut dosyası yerleştirebilir.

İle DOM Tabanlı XSS, HTTP isteği gerekmez; the komut dosyası, istemci tarafında hedef sitenin DOM’sinin değiştirilmesinin bir sonucu olarak enjekte edilir kurbanın tarayıcısında kodlanır ve ardından yürütülür.

XSS’yi Anlamak – Siteler Arası Komut Dosyası Çalıştırma

                               http://test.gbhackers.com/search?q=gbhackers

                                   Searched for gbhackers

                                          

Bunun gibi bir URL’ye sahip olduğumuzu ve gbhacker’ları aradığımızı hayal edin, ve tarayıcıda aşağıdaki sorguyu yansıtacaktır.

Etki alanına güveniyoruz ve arama sayfasına girilen kaynağa güveniyoruz, bu nedenle artık güvenilmeyen kısım gbhackers, tarayıcı tarafından girilen sorgu dizesiydi; Saldırgan, değeri istediği gibi manipüle edebilir, örneğin, bu şekilde değişirler. .

Bu, birisi saldırganın web sitesinin sayfasını talep edip belgeyi iletirse web sayfasında bir uyarı açmak için basit bir sorgudur.

Parametre olarak çerezler web sitesinde, saldırgan tüm çerezleri toplayabilir.eğer alırlarsa Kimlik doğrulama çerezleri, yapabilirler basitçe kullanıcı oturumlarını ele geçirin.

xss
XSS Saldırısı

Siteler Arası Komut Dosyası Oluşturmanın Potansiyel Riskleri

Saldırgan, kurbanın uygulamadaki kullanıcı hesabını tehlikeye atabilir veya ele geçirebilir.

Hedef web uygulamasından veri alabilir, hedef sayfadaki içeriği değiştirebilir, kurbanı başka bir kötü amaçlı veya sahte siteye yönlendirebilir veya kurbanın sistemine başka bir kötü amaçlı yazılım yüklemek için kullanabilirler.

Yukarıdakilerden herhangi birinin sonuçları, iş yapma yeteneğinizi, müşterilerinizi ve kuruluşunuzun itibarını ciddi şekilde etkileyebilir.

XSS
XSS Saldırı Akışı

Siteler Arası Komut Dosyasına Karşı Savunmalar

  • Hangi girdiye güveniyoruz?
  • Beklenen kalıplara uyuyor mu?
  • Güvenilmeyen verileri asla yansıtma.
  • Veritabanımızdaki veriler için de geçerlidir.
  • Bağlamın kodlanması (Java/attribute/HTML/CSS).



Source link