Konuyu Oyla:
  • Toplam: 0 Oy - Ortalama: 0
  • 1
  • 2
  • 3
  • 4
  • 5
   
Konu: Reflected Xss Tespit Ve Kapatılması
Meczup
*
avatar
Binbaşı
Durum: Çevrimdışı
Seviye Puanı: 25
Yaşam Puanı: 619 / 619
Deneyim: 79 / 100
Rep Sayısı: 78
Mesaj Sayısı: 824
Üyelik Tarihi: 18.12.2017
      
Yorum: #1
Reflected Xss Tespit Ve Kapatılması
30.07.2018 00:13
***** XSS Nedir ? *****


Veri girişi alanına gönderilen kötü niyetli javascript kodlarının, kullanıcının web tarayıcısında çalıştırıldığı bir saldırı türüdür. Yani kullanıcı taraflı bir saldırıdır.
URL adreslerindeki ve form alanlarında sıklıkla görülür.
Phishing saldırılarına zemin oluşturur.
Genellikle POST ve GET metotlarının kullanıldığı alanlarda olur.


****** XSS Tespit *****​


XSS Açıgını tespit etmek için text kutusuna bir Html kodu yazarak bulabiliriz .Genel olarak alert kodu yazılır ..Örnek olarak Alert Kodu "<script>alert.(Cyberizm)</script>" yazıp Enterladıgımızda tarayıcı ekranımıza açılır pencerede "Cyberizm" yazısı görünecektir.Bu şekilde sitemizde XSS açıgı olup olmadığını tespit etmiş oluruz .


***** Reflected XSS ? *****


Bu saldırı URL alanlarına veya veri giriş alanlarına yapılır.Burada sadece saldırı yapan kişi etkiyi görebilir ziyaretçilere etki edemez. Bunu nasıl kullanabiliriz derseniz burda sosyal mühendislik kullanabiliriz. Bu yüzden URL alanında çalışan Reflected XSS saldırılarında
saldırgan URL adresini e-mail gibi çeşitli iletişim kanalları ile göndererek kurban avına çıkar.

Bunu kısaca resim üzerinde anlatılmış arkadaşlar .Burda saldırkan xss kodlarını kullanıcıya gönderiyor .Kullanıcı bu kodları çalıştırarak sunucuda bir istekde bulunmuş oluyor ve kabul edilen zararlı istek sonucu saldırgan hedeflerine ulaşmış oluyor .
cyberizm


**** XSS Zafiyetine Kapatılması ***​**


Web uygulamasında kullanıcının veri girişine izin verilen alanlarda filtreleme yaparak bu açıkları kapatabilirsiniz. Veri girişinin filtrelenmesi kadar veri çıkışının da incelenmesi güvenliği arttıracaktır.Aşağıda belirtilen meta-karakterlerin filtrelenmesi XSS saldırılarına karşı güvenliğini sağlayacaktır:

Kod:
['],[<],[>],[;],[/],[?],[=],[&],[#],[%],[{],[}],[|],[@],[\],["]

Ayrıca

Kod:
$a = htmlspecialchars($_POST["a"]);

burda kullanılan "htmlspecialchars" kullanarakda filtreleme işlemi yapılmaktadır .

  • Çerezlerin güvenli hale getirilmesi güvenliği arttırmak yapılabilecek önemli işlemlerdendir. Çerezler içinde kullanıcı adı, şifre vs saklanmasından kaçınmalıyız.
  • Bunun yanında belirli penterasyon testleri yaprak içerde ve dışarda oluşabilecek zafiyetlerden bilgimizin olması kapatmamızda yararı olacaktır

Bu Hayatın Falanları Filanları Malum
>> Meczup Official Page
Alinti
Rep Verenler: #Ayar , The_ZiziL
#Ayar
*
avatar
Tabutçu
Durum: Çevrimdışı
Seviye Puanı: 35
Yaşam Puanı: 801 / 852
Deneyim: 11 / 100
Rep Sayısı: 1467
Mesaj Sayısı: 1751
Üyelik Tarihi: 13.08.2013
      
Yorum: #2
RE: Reflected Xss Tespit Ve Kapatılması
30.07.2018 11:40
Teşekkürler, Emeğine Sağlık Smile

Başka forumlarda üyeliğim bulunmamaktadır.
ayar
Alinti
The_ZiziL
*
avatar
Valhalla
Durum: Çevrimiçi
Seviye Puanı: 35
Yaşam Puanı: 869 / 869
Deneyim: 76 / 100
Rep Sayısı: 539
Mesaj Sayısı: 1835
Üyelik Tarihi: 06.02.2017
     
Yorum: #3
RE: Reflected Xss Tespit Ve Kapatılması
30.07.2018 13:24
Teşekkürler, Emeğine Sağlık.

Allah’tan utanmayan insanlardan da utanmaz…
Alinti
Dessy
*
avatar
Yarbay
Durum: Çevrimdışı
Seviye Puanı: 21
Yaşam Puanı: 280 / 520
Deneyim: 80 / 100
Rep Sayısı: 101
Mesaj Sayısı: 563
Üyelik Tarihi: 20.11.2015
     
Yorum: #4
RE: Reflected Xss Tespit Ve Kapatılması
30.07.2018 13:55
Teşekkürler, Emeğine Sağlık Smile

İnstagram Sınırsız Hesap > Git
Youtube Sınırsız Hesap > Git
Sosyal Medyada Sınırsız Hesap Açma p2 Yakında.
Alinti



1 Ziyaretçi
[-]
Sponsor Reklam