XSS Nedir ?
XSS Dinamik İnternet Sitelerinde Oluşabilen Bir Web Güvenlik Açığıdır.
XSS’nin Açılımı XSS’nin Açılımı Cross Site Scripting’dir
Türkçe Olarak Çapraz Kod Çalışdırmak Anlamına Gelmektedir.
XSS İle Ne Yapılabilir ?
XSS Açığı Bulduğunuz Bir Web Sitesini, Açığı Kullanarak Saldırı Yaptığınızda Saldırı Yaptığınız Kullanıcı Gibi Siteye Giriş Yapabilirsiniz.
XSS Kullanmak İçin Hangi Mataryellere İhtiyacım Var ?
XSS’yi Kullanırken Cookies’leri Değiştireceğimiz İçin Bir Tarayıcıya İhtiyacımız Vardır.Biz Opera Browser Kullanacağız.. Çünkü Cookies’leri Değiştirmek Opera İle Çok Kolaydır.
a-)Nasıl aranır?
Xss nerede bulunur?
bir website düşünelim.
news.php,index.php,p.php gibi php dosyaları bulunmakta bu dosyalar içerisinden herhangi bir haber sayfası açalım
http://www.victim.com/news.php?id=
gibi sayfa görenecekdir.
id= degeri 12,13 gibi rakamlar belirlenir ve veritabanı içerisinde listelenmiştir. biz bu degerleri kullanarak Xss tespit yapabiliriz.
alert(HacKer)www.vistim.com/news.php?id=>alert(HacKer
id degerine “>alert(“HacKer”) yazdık
ve ekrana HacKer yazılı ekran alert gelecek
. bu şuna işarettir
news.php?id=
bu sayfada id degerinde Xss mevcuttur.
b-)Xss nerede aranır ?
evet herkezin bildiği üzere Xss nerede aranır sorusuna ilk önce id degerler içerisinde aranır olarak cevap verdim
. ama bilinen bir gerçek Xss en popüler olarak bir sayfa içerisinde form’larda aranır.
mesela bir search kutusu düşünelim.
Peki sarch kutusunda ne yapacagız?
bu search kutusunda Xss arıcaz biz ekrana HacKer yazdırarak Xss tespit etmek istiyorsak search kutusuna
“>alert(“HacKer”)
yazdıgımızda ekrana HacKer yazdıracakdır eger Xss mevcut ise alert mesajı gelecekdir.
Xss aramayı şu şekilde bitirmek istiyorum.
Xss geniş bir deryadır her yerde bulunabilir.
onun için Xss yi sadece TextBoxda aramak uygun olmaz.
c-)Uygun Dork nasıl yazılır ?
Sql injection aramak için Google gibi arama sayfalarını kullanıyoruz.
Xss içinde aynısını yapacagız.
hangi sayfalarda arıcagımızı anlattık.
Peki Xss mevcut olan site nasıl bulacagız?
Google’u kullanacagız.
Xss için dorklar nedir?
bu konu altında size 1000’lerce dork yazabilirim ama yazmıcağım çünkü Xss aramak için kendi dorkunuzu kendiniz yazın. ama konunun kavranması için size birkaç dork vereyim.
inurl:”/search.php?go=”
inurl:”news.php?id=”
inurl:”index.php?id=”
vs vs dorklar yazabilirim. ve bu şekilde listeleyebilirsiniz.
mesela aramayı daraltmak için inurl:”index.php?HacKer=” gibi hiç kullanılmayan id isimleri yazabilirsiniz aslında size kalmış.
XSS Dinamik İnternet Sitelerinde Oluşabilen Bir Web Güvenlik Açığıdır.
XSS’nin Açılımı XSS’nin Açılımı Cross Site Scripting’dir
Türkçe Olarak Çapraz Kod Çalışdırmak Anlamına Gelmektedir.
XSS İle Ne Yapılabilir ?
XSS Açığı Bulduğunuz Bir Web Sitesini, Açığı Kullanarak Saldırı Yaptığınızda Saldırı Yaptığınız Kullanıcı Gibi Siteye Giriş Yapabilirsiniz.
XSS Kullanmak İçin Hangi Mataryellere İhtiyacım Var ?
XSS’yi Kullanırken Cookies’leri Değiştireceğimiz İçin Bir Tarayıcıya İhtiyacımız Vardır.Biz Opera Browser Kullanacağız.. Çünkü Cookies’leri Değiştirmek Opera İle Çok Kolaydır.
a-)Nasıl aranır?
Xss nerede bulunur?
bir website düşünelim.
news.php,index.php,p.php gibi php dosyaları bulunmakta bu dosyalar içerisinden herhangi bir haber sayfası açalım
http://www.victim.com/news.php?id=
gibi sayfa görenecekdir.
id= degeri 12,13 gibi rakamlar belirlenir ve veritabanı içerisinde listelenmiştir. biz bu degerleri kullanarak Xss tespit yapabiliriz.
alert(HacKer)www.vistim.com/news.php?id=>alert(HacKer
id degerine “>alert(“HacKer”) yazdık
ve ekrana HacKer yazılı ekran alert gelecek
. bu şuna işarettir
news.php?id=
bu sayfada id degerinde Xss mevcuttur.
b-)Xss nerede aranır ?
evet herkezin bildiği üzere Xss nerede aranır sorusuna ilk önce id degerler içerisinde aranır olarak cevap verdim
. ama bilinen bir gerçek Xss en popüler olarak bir sayfa içerisinde form’larda aranır.
mesela bir search kutusu düşünelim.
Peki sarch kutusunda ne yapacagız?
bu search kutusunda Xss arıcaz biz ekrana HacKer yazdırarak Xss tespit etmek istiyorsak search kutusuna
“>alert(“HacKer”)
yazdıgımızda ekrana HacKer yazdıracakdır eger Xss mevcut ise alert mesajı gelecekdir.
Xss aramayı şu şekilde bitirmek istiyorum.
Xss geniş bir deryadır her yerde bulunabilir.
onun için Xss yi sadece TextBoxda aramak uygun olmaz.
c-)Uygun Dork nasıl yazılır ?
Sql injection aramak için Google gibi arama sayfalarını kullanıyoruz.
Xss içinde aynısını yapacagız.
hangi sayfalarda arıcagımızı anlattık.
Peki Xss mevcut olan site nasıl bulacagız?
Google’u kullanacagız.
Xss için dorklar nedir?
bu konu altında size 1000’lerce dork yazabilirim ama yazmıcağım çünkü Xss aramak için kendi dorkunuzu kendiniz yazın. ama konunun kavranması için size birkaç dork vereyim.
inurl:”/search.php?go=”
inurl:”news.php?id=”
inurl:”index.php?id=”
vs vs dorklar yazabilirim. ve bu şekilde listeleyebilirsiniz.
mesela aramayı daraltmak için inurl:”index.php?HacKer=” gibi hiç kullanılmayan id isimleri yazabilirsiniz aslında size kalmış.
subschainmo Jessica Gonzalez click here
YanıtlaSilpoolneposan