Reflected Xss Tespit Ve Kapatılması

Yazan: Adsız -
*
XSS Nedir ?
*
Veri girişi alanına gönderilen kötü niyetli javascript kodlarının, kullanıcının web tarayıcısında çalıştırıldığı bir saldırı türüdür. Yani kullanıcı taraflı bir saldırıdır.
URL adreslerindeki ve form alanlarında sıklıkla görülür.
Phishing saldırılarına zemin oluşturur.
Genellikle POST ve GET metotlarının kullanıldığı alanlarda olur.

*
XSS Tespit
*

XSS Açıgını tespit etmek için text kutusuna bir Html kodu yazarak bulabiliriz .Genel olarak alert kodu yazılır ..Örnek olarak Alert Kodu "<script>alert.(BS)</script>" yazıp Enterladıgımızda tarayıcı ekranımıza açılır pencerede "BS" yazısı görünecektir.Bu şekilde sitemizde XSS açıgı olup olmadığını tespit etmiş oluruz .

Reflected XSS ?
*

Bu saldırı URL alanlarına veya veri giriş alanlarına yapılır.Burada sadece saldırı yapan kişi etkiyi görebilir ziyaretçilere etki edemez. Bunu nasıl kullanabiliriz derseniz burda sosyal mühendislik kullanabiliriz. Bu yüzden URL alanında çalışan Reflected XSS saldırılarında
saldırgan URL adresini e-mail gibi çeşitli iletişim kanalları ile göndererek kurban avına çıkar.

Bunu kısaca resim üzerinde anlatılmış arkadaşlar .Burda saldırkan xss kodlarını kullanıcıya gönderiyor .Kullanıcı bu kodları çalıştırarak sunucuda bir istekde bulunmuş oluyor ve kabul edilen zararlı istek sonucu saldırgan hedeflerine ulaşmış oluyor .


XSS Zafiyetine Kapatılması
*

Web uygulamasında kullanıcının veri girişine izin verilen alanlarda filtreleme yaparak bu açıkları kapatabilirsiniz. Veri girişinin filtrelenmesi kadar veri çıkışının da incelenmesi güvenliği arttıracaktır.Aşağıda belirtilen meta-karakterlerin filtrelenmesi XSS saldırılarına karşı güvenliğini sağlayacaktır:


Ayrıca



burda kullanılan "htmlspecialchars" kullanarakda filtreleme işlemi yapılmaktadır .


  • Çerezlerin güvenli hale getirilmesi güvenliği arttırmak yapılabilecek önemli işlemlerdendir. Çerezler içinde kullanıcı adı, şifre vs saklanmasından kaçınmalıyız.

  • Bunun yanında belirli penterasyon testleri yaprak içerde ve dışarda oluşabilecek zafiyetlerden bilgimizin olması kapatmamızda yararı olacaktır

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Kali Linux'da Uygulama Kısayolu Oluşturma

Yazan: Adsız -
Resim
Herkese selamun aleyküm Arkadaşlar bugün sizlere benim de önceden karşılaştığım bir sorunun çözümünü anlatacağım . Mesela bir uygulamayı ,dosyalarını vs terminal ile yüklediniz .Terminal ile açtınız fakat uygulamalarda arattığınız zaman bulamıyorsunuz , her seferinde terminalden açmanız gerekiyor , ayrıca terminali kapattığınızda uygulamada kapanıyo .İşte şimdi size uygulamanın kısayolunu oluşturarak uygulamayı terminal olmadan açabilmeyi göstereceğim .Videoya gerek duymadım o yüzden Screenshot ile anlatımı yapacağım . ~Başlayalım ~ 1-Terminal (uçbirim) açalım Komut olarak  apt-get install alacarte 2-evet bu kodu yazdık k ENTER'a bastık > işlemler bitti ise 3-Uygulamalar kısmına gelelim ve arama kısmına Ana menü yazalım zaten A yazdığımızda çıkacaktır 4- Ana menü yazan uygulamamızı açalım 5-Sol tarafta görülen kategorilerden en altta bulunan Usual applications'a tıklayalım . 6-Tıkladıktan sonra ekranda böyle olucak 7-Sağ tara
Devamı

DarkComet Rat Nedir ?​

Yazan: Adsız -
Resim
DarkComet Rat Nedir ? ​ DarkComet Rat virüs oluşturmaya yarayan bir hack tooldur. Bilgisayarı tamamen kontrol etmeye yarar.İçinde keyloggeR , hedef bilgisayara aktif bi şekilde ekrana yazı yazdırma vb bazı özellikleri vardır. Kurtulmak için virüs taraması yapapılması gerekir.Onun dışında dosya konumu biliniyorsa oradan oluşturulan dosyayı o olduğundan eminseniz silebilirsiniz. Kendimizi Nasıl Koruruz ? ​ Anti-virus yazılımı kullanarak bunlardan korunabilirsiniz.En önemlisi ise internet ortamında bilmediğiniz web sitelerinden,sosyal ağlardan, e-postalardan, tanımadığınız kişiler den size gönderilen her bağlantıya tıklamamalı veya bu yolla size gelen programları açmamalısınız. SCREENSHOTLAR ​ 1- Burada duckdns.org dan hesap ve domainimizi oluşturduk   2- Burada indirdiğimiz duckdns programının ayarlarını yaptık -domain ve tokenimizi yazdık 3- Burası Darkcomer rat uygulamamızın ana menü görünüm şekli   4- Burasıda darkcometten uyg
Devamı