Konuyu Oyla:
  • Toplam: 0 Oy - Ortalama: 0
  • 1
  • 2
  • 3
  • 4
  • 5
   
Konu: Reflected Xss Tespit Ve Kapatılması
M3czup
*
avatar
Teğmen - Ex
Durum: Çevrimdışı
Seviye Puanı: 26
Yaşam Puanı: 629 / 629
Deneyim: 16 / 100
Rep Sayısı: 82
Mesaj Sayısı: 852
Üyelik Tarihi: 18.12.2017
      
Yorum: #1
Reflected Xss Tespit Ve Kapatılması
30.07.2018 00:13
***** XSS Nedir ? *****


Veri girişi alanına gönderilen kötü niyetli javascript kodlarının, kullanıcının web tarayıcısında çalıştırıldığı bir saldırı türüdür. Yani kullanıcı taraflı bir saldırıdır.
URL adreslerindeki ve form alanlarında sıklıkla görülür.
Phishing saldırılarına zemin oluşturur.
Genellikle POST ve GET metotlarının kullanıldığı alanlarda olur.


****** XSS Tespit *****​


XSS Açıgını tespit etmek için text kutusuna bir Html kodu yazarak bulabiliriz .Genel olarak alert kodu yazılır ..Örnek olarak Alert Kodu "<script>alert.(Cyberizm)</script>" yazıp Enterladıgımızda tarayıcı ekranımıza açılır pencerede "Cyberizm" yazısı görünecektir.Bu şekilde sitemizde XSS açıgı olup olmadığını tespit etmiş oluruz .


***** Reflected XSS ? *****


Bu saldırı URL alanlarına veya veri giriş alanlarına yapılır.Burada sadece saldırı yapan kişi etkiyi görebilir ziyaretçilere etki edemez. Bunu nasıl kullanabiliriz derseniz burda sosyal mühendislik kullanabiliriz. Bu yüzden URL alanında çalışan Reflected XSS saldırılarında
saldırgan URL adresini e-mail gibi çeşitli iletişim kanalları ile göndererek kurban avına çıkar.

Bunu kısaca resim üzerinde anlatılmış arkadaşlar .Burda saldırkan xss kodlarını kullanıcıya gönderiyor .Kullanıcı bu kodları çalıştırarak sunucuda bir istekde bulunmuş oluyor ve kabul edilen zararlı istek sonucu saldırgan hedeflerine ulaşmış oluyor .



**** XSS Zafiyetine Kapatılması ***​**


Web uygulamasında kullanıcının veri girişine izin verilen alanlarda filtreleme yaparak bu açıkları kapatabilirsiniz. Veri girişinin filtrelenmesi kadar veri çıkışının da incelenmesi güvenliği arttıracaktır.Aşağıda belirtilen meta-karakterlerin filtrelenmesi XSS saldırılarına karşı güvenliğini sağlayacaktır:

Kod:
['],[<],[>],[;],[/],[?],[=],[&],[#],[%],[{],[}],[|],[@],[\],["]

Ayrıca

Kod:
$a = htmlspecialchars($_POST["a"]);

burda kullanılan "htmlspecialchars" kullanarakda filtreleme işlemi yapılmaktadır .

  • Çerezlerin güvenli hale getirilmesi güvenliği arttırmak yapılabilecek önemli işlemlerdendir. Çerezler içinde kullanıcı adı, şifre vs saklanmasından kaçınmalıyız.
  • Bunun yanında belirli penterasyon testleri yaprak içerde ve dışarda oluşabilecek zafiyetlerden bilgimizin olması kapatmamızda yararı olacaktır
Alinti
Rep Verenler: #Ayar , The_ZiziL
#Ayar
*
avatar
Tabutçu
Durum: Çevrimdışı
Seviye Puanı: 35
Yaşam Puanı: 798 / 858
Deneyim: 34 / 100
Rep Sayısı: 1507
Mesaj Sayısı: 1780
Üyelik Tarihi: 13.08.2013
      
Yorum: #2
RE: Reflected Xss Tespit Ve Kapatılması
30.07.2018 11:40
Teşekkürler, Emeğine Sağlık Smile

Başka forumlarda üyeliğim bulunmamaktadır.
ayar
Alinti
The_ZiziL
*
avatar
Valhalla
Durum: Çevrimiçi
Seviye Puanı: 36
Yaşam Puanı: 878 / 878
Deneyim: 12 / 100
Rep Sayısı: 549
Mesaj Sayısı: 1883
Üyelik Tarihi: 06.02.2017
     
Yorum: #3
RE: Reflected Xss Tespit Ve Kapatılması
30.07.2018 13:24
Teşekkürler, Emeğine Sağlık.

Allah’tan utanmayan insanlardan da utanmaz…
Alinti
Dessy
*
avatar
Yarbay
Durum: Çevrimdışı
Seviye Puanı: 21
Yaşam Puanı: 271 / 522
Deneyim: 89 / 100
Rep Sayısı: 102
Mesaj Sayısı: 568
Üyelik Tarihi: 20.11.2015
     
Yorum: #4
RE: Reflected Xss Tespit Ve Kapatılması
30.07.2018 13:55
Teşekkürler, Emeğine Sağlık Smile

İnstagram Sınırsız Hesap > Git
Youtube Sınırsız Hesap > Git
Sosyal Medyada Sınırsız Hesap Açma p2 Yakında.
Alinti



1 Ziyaretçi