Nedir?

Question

Siteme bu kullanıcı adıyla birisi kaydolmuş. Bu nedir, ne değildir bilgisi olan var mı? Sanırım bir attack türü. Ne işe yarar, nasıl engellenir? Aktif midir değil midir nasıl anlayabilirim?

Acol · Answer

XSS denemeye çalışmışlar admin panelinde kullanıcılar kısmı varsa kontrol edebilirsiniz çalışıp çalışmadığını

skorkmazvip · Answer

Merhaba yazılımınızda bu xss açığının bu dönemde olacağını düşünmüyorum. Bu kodun açıklaması=  ekrana 1 yazısı uyarısını verir.

utgard · Answer

Acol adlı üyeden alıntı:						mesajı görüntüle									XSS denemeye çalışmışlar admin panelinde kullanıcılar kısmı varsa kontrol edebilirsiniz çalışıp çalışmadığını

utgard · Answer

skorkmazvip adlı üyeden alıntı:						mesajı görüntüle									Merhaba yazılımınızda bu xss açığının bu dönemde olacağını düşünmüyorum. Bu kodun açıklaması= ekrana 1 yazısı uyarısını verir. 		Yazılım şirketimize de bağlanalım.
@Quantum;  'un HesapBox scriptini kullanıyoruz.

trycatchsoft · Answer

veritabanı işlemlerinde pdo classını kullanın hocam. kullanıcı tam olarak sayılmasa da sql injection tarzında bir şey denemiş

nebisenol · Answer

Üye olurken strip_tags fonksiyonu ile html kodlarını temizlettirip veritabanına kaydettirebilirsin. Ya da kontrol ettirip ekrana hata mesajı verdirebilirsin.

HSNv2 · Answer

skorkmazvip adlı üyeden alıntı:						mesajı görüntüle									Merhaba yazılımınızda bu xss açığının bu dönemde olacağını düşünmüyorum. Bu kodun açıklaması= ekrana 1 yazısı uyarısını verir. 		Bu dönemde derken?
Eğer güvenlik önlemleri alınmamış bir yazılımsa, bunun dönemle ve zamanla alakası yok. 
Ki göründüğü üzere veritabanına strip_tags vb. filtreler uygulanmadığı için eklenebilmiş.
Yani gelen POST/GET verilerini bir filtreden geçirmeniz gerekir. XSS dışında SQL Injection gibi daha ciddi açıklara da sebep olabilir.

utgard · Answer

trycatchsoft adlı üyeden alıntı: mesajı görüntüle

veritabanı işlemlerinde pdo classını kullanın hocam. kullanıcı tam olarak sayılmasa da sql injection tarzında bir şey denemiş

İsim kısmının classı bu şekilde. Bahsettiğiniz alan burası mı?

utgard · Answer

HSNv2 adlı üyeden alıntı:						mesajı görüntüle									Bu dönemde derken?
Eğer güvenlik önlemleri alınmamış bir yazılımsa, bunun dönemle ve zamanla alakası yok.
Ki göründüğü üzere veritabanına strip_tags vb. filtreler uygulanmadığı için eklenebilmiş.
Yani gelen POST/GET verilerini bir filtreden geçirmeniz gerekir. XSS dışında SQL Injection gibi daha ciddi açıklara da sebep olabilir. 		Bu konuyla alakalı rehber niteliğinde bir belge var mıdır? Nasıl yapabiliriz?

nebisenol · Answer

trycatchsoft adlı üyeden alıntı:						mesajı görüntüle									veritabanı işlemlerinde pdo classını kullanın hocam. kullanıcı tam olarak sayılmasa da sql injection tarzında bir şey denemiş 		Sql injection değil. Pdo kullanılmalı evet fakat pdo query kullanılırsa yine olmaz. En sağlıklı çalışanı pdo prepare. Buna dikkat edilmeli özellikle. Ek olarak htmlspecialchars, strip_tags kullanarak hem injection hem xss açıklarının önüne geçebiliriz.

HSNv2 · Answer

utgard adlı üyeden alıntı:						mesajı görüntüle									Bu konuyla alakalı rehber niteliğinde bir belge var mıdır? Nasıl yapabiliriz? 		İnternette SQL Injection ve XSS korunma yöntemleri gibi aramalar ile araştırma yapabilirsiniz ancak dilerseniz size uygun ücrete bu konuda önlemler almanıza destek sağlayabilirim.

utgard · Answer

nebisenol adlı üyeden alıntı:						mesajı görüntüle									Sql injection değil. Pdo kullanılmalı evet fakat pdo query kullanılırsa yine olmaz. En sağlıklı çalışanı pdo prepare. Buna dikkat edilmeli özellikle. Ek olarak htmlspecialchars, strip_tags kullanarak hem injection hem xss açıklarının önüne geçebiliriz. 		Hazır script olduğu için direkt yaratıcısına soralım. @Quantum; yazılımınızda bu tarz açıkları engelleyen bir faktör var mı? yoksa kontrol ettirelim mi?

trycatchsoft · Answer

utgard adlı üyeden alıntı:						mesajı görüntüle

İsim kısmının classı bu şekilde. Bahsettiğiniz alan burası mı? 		hayır hocam bu html class'ı. php tarafında kullanıcı bilgileri alınıp veritabanına yazdırılırken pdo class'ı ile yazdırmayı kast ettim. pdo class'ı ile bir veritabanı sorgusu çalıştırırken, parametre pdo'nun prepare fonksiyonundan geçer ve istenmeyen tagler olsun yasaklı karakterler olsun bu fonksiyondan geçemez. bu alert fonksiyonu ekrana yazı yazar 1 diye. buraya sql injection atabilirse bütün veritabanını bile silebilir mesela. çok tehlikeli olabilir.

nebisenol · Answer

utgard adlı üyeden alıntı:						mesajı görüntüle									Hazır script olduğu için direkt yaratıcısına soralım. @Quantum; yazılımınızda bu tarz açıkları engelleyen bir faktör var mı? yoksa kontrol ettirelim mi? 		Aslında gönderdiğin ekran görüntüsünden anlaşılacağı üzere xss için bir önlem alınmamış gibi. Eğer alınmış olsaydı veritabanına html tag verileri kaydettirilemezdi. Sql injection ve xss ayrı şeyler. Sql injection’u ayrıca denemek lazım. Site adresi atarsan kontrol edebilirim.

muratardic07 · Answer

, JavaScript kodudur. Bu kod, bir web sayfasında pop-up bir pencere açar ve 1 değerini görüntüler. Bu kod web sayfalarının dinamik ve interaktif hale getirilmesine yardımcı olan bir programlama dilidir.

thealiyasar · Answer

Public olan bütün formlardan gelen post ve get değerlerini filtreden geçirmek yazılımın "yaz" kısmı kadar önemlidir bir etkendir. Bu kod javascript kodu. Birisi belliki xss açığını denemeye çalışmış farkında yada değil işe yaramış yaptığı taktik. Yazılımınızın public olan tüm formlarını kontrol ettirin. Gelen verilerin süzgeçten geçip geçmediğine baktırıp önlem alınız. Sql injection bambaşka bir olay. PDO kullanılsa dahi prepare'dan şaşmamalı yinede gelen post değerlerini süzgeçten geçirip kontrol ederek zararsız hale getirmelisiniz.

Kolay gelsin.

skorkmazvip · Answer

HSNv2 adlı üyeden alıntı:						mesajı görüntüle									Bu dönemde derken?
Eğer güvenlik önlemleri alınmamış bir yazılımsa, bunun dönemle ve zamanla alakası yok.
Ki göründüğü üzere veritabanına strip_tags vb. filtreler uygulanmadığı için eklenebilmiş.
Yani gelen POST/GET verilerini bir filtreden geçirmeniz gerekir. XSS dışında SQL Injection gibi daha ciddi açıklara da sebep olabilir. 		95 yılında fso ve xss kullanıyorduk artık bu açığı bırakan bir yazılım şirketi olduğunu sanmıyorum var ise de yazılımcı olduğu sanan fakat olmayan bir yazılımcıdır.

napster4 · Answer

yazılım tarafında çözemeyenler WAF kurabilir. wp kullanıyorsanız ise WAF işi yapan pluginler mevcut.

<script>alert(1)</script> Nedir?