Siber Güvenlik

XSS (Cross Site Scripting) nedir ? XSS saldırı çeşitleri

 Uzun zamanlardır duyduğumuz veya bir kısmının hala duymadığı “XSS saldırıları” bir diğer ismiyle cross site scripting    

XSS saldırılarının ne  olduğunu,   XSS  saldırı çeşitlerini hep birlikte bu yazımda birlikte  inceliyeceğiz. 

Cross site scripting(xss) adından anlaşılabileceği gibi bir web sayfasına  script kodları üzerinden saldırı yapılmasıdır. Web uygulamalarında bulunan  bilgisayar güvenlik açıklığıdır.  Bu açıklıklardan faydalanmak isteyen kötü niyetli kişiler tarafından web tarayıcısını ele geçirip faydalanarak bilgisayarınıza kötü kodlar yani bilgisayara zarar veren kod parçacıkları entegre edilebilir ve saldırganın kullanıcının tarayıcısında zarar verecek kod ekleme saldırısıdır. Web sitesi kullanan herkesin bilgi sahibi olması gereken bir saldırı çeşididir çünkü sonuçları ciddi hasarlar oluşturabilir.  XSS saldırılarında genelde javascript ve HTML kullanılır. 

XSS NASIL KARŞIMIZA  ÇIKAR ? 

  • Hedef tarafından görüntülen reklam içeren web sitelerinde bu durumla karşılaşmayan çok azdır. 
  • Kullanıcılara veya topluma gönderilen e- postalarla 
  • Saldırgan tarafından gönderilen linklerle ve hedef tarafından linke tıklayarak kullanıcın kişisel bilgilerini isteyen sahte veya form şeklindeki sayfalar. 
  • Kötü amaçlı komut dosyalarıyla XSS saldırılarının hedefi olabiliriz. 

XSS Saldırı Türleri 

3 Çeşit XSS Türü bulunmaktadır: 

 1- Reflected  XSS:   

XSS saldırılarına karşı alınan önlemlerden filtrelemenin kullanılmamasından dolayı ortaya çıkar. Dışarıdan alınan parametrenin girilmesi beklenen parametre yerine Javascript  kodu girerek ekrana yansıtması genellikle     e-postalarda veya gizli bağlantılılarla hedef kullanıcıya tıklatılır ve kullanıcının oturum bilgileri saldırganın eline geçebilir. 

2- Stored/Persistent:  

En tehlikeli ve kalıcı olan XSS türüdür. Girilen payloadlar(kötü amaçlı eylemi gerçekleştiren solucanlar veya virüsler gibi kötü amaçlı yazılımın bir parçasıdır. Veri silme, spam gönderme ve şifreleme amacıyla kullanılır.) anlık olarak yansımaz bir veri tabanında veya sunucularda saklanan komut dosyasıdır. 

Reflected XSS ile arasındaki fark buradaki payloadlar kullanıcının görebileceği şekilde bulunur fark edilme oranı yüksektir fakat stored XSS’te arka planda direkt olarak çalışacak ve kullanıcın fark etmesine izin verilmeyecektir. Kullanıcı bu siteyi kullanırken bilgiler kolaylıkla çekilir. 

 3- Dom XSS:   

DOM (Document Object Model )lardan kaynaklanan bir XSS türüdür. DOM tarayıcıların çalıştırıldığı zaman yorumladığı her şey DOM kapsar . DOM XSS de payload enjekte edildiğinde sayfa kaynağında görülmez.  

XSS saldırılarına karşı nasıl önlem alabiliriz? 

En yaygın kullanılan yöntemler filtreleme, karaliste  ve beyazliste yöntemi, barikat sistemidir. 

  • Filtreleme ile sahte veya form olarak gönderilen meta karekterler filtrelenebilir.  
  • Beyazliste ile ne gerekli ise o alınır sisteme ve onaylanmış veriler sistemde kullanılır. Karaliste ise yasaklanmış verilerin sisteme girişini engeller. 
  • Barikat sistem ise site güvenliğine karşı güvenilir bir sistem olarak çalışır arka planda çalışarak gerekli gördüğüne izin verir güvenlik duvarlarına benzetebiliriz 
  • Çerezler daha güvenli hale getirilebilir.  
  • Kullanıcıları hedef olmamak için her bağlantıya tıklanmaması için bilgilendirme yapılabilir. 

XSS test araçları: 

Nessus ve Nikto gibi olası XSS saldırılarının güvenlik açıklarını kontrol etmek için çeşitli tarayıcılar kullanabiliriz.  Her ikisini de güvenlik açıklarını tararken kullanılabileceğimiz güvenilir araçlardır. 

 Web sayfaları geliştirirken hedefteki kurban olmamak için Sizlerde bu makalede verilen bilgileri dikkate alarak ilerleyebilirsiniz. Faydalı olması dileğiyle  

Sağlıklı günler! 

Etiketler

İlgili Makaleler

3 Yorum

Bir yanıt yazın

Başa dön tuşu
Kapalı