• 07-10-2023, 00:52:51
    #1
    Üyeliği durduruldu
    Merhaba, bana çok saçma geldi bu atak türü nedir bunun zararları bilen yeşillendirebilir mi?
  • 07-10-2023, 00:55:02
    #2
    Üyeliği durduruldu
    Çok ciddiye alınabilecek bir açık değil aslında hocam.
    Admin cokielerini çalıp yetkisini admin düzeyine getirebilirler ancak..
  • 07-10-2023, 00:56:39
    #3
    Üyeliği durduruldu
    Setindir adlı üyeden alıntı: mesajı görüntüle
    Çok ciddiye alınabilecek bir açık değil aslında hocam.
    Admin cokielerini çalıp yetkisini admin düzeyine getirebilirler ancak..
    admin cookie çalması için admin in kullandığı pc ye ulaşması gerekiyo o nası olcak?
  • 07-10-2023, 01:00:42
    #4
    byjameson adlı üyeden alıntı: mesajı görüntüle
    admin cookie çalması için admin in kullandığı pc ye ulaşması gerekiyo o nası olcak?
    Kastedilen şey basit bir dil ile ifade etmek gerekirse; ilgili websitede ticket,contact-form, product details v.b açıgın kullanılabilen herhangi alanında javascript gömülerek, ilgili adminin ticket veyahut sipariş artık herneyse yönetici arayüzünde kontrol ettiğinde background üzerinde javascript kodunuzun çalışması ile, kodunuzda yer alacak sizin hedef belirlediğiniz alan adına cookie verilerini göndermesi sonucu akabinde ilgili cookieleri websitesinde kullanarak arayüze erişim sağlamış olursunuz.
  • 07-10-2023, 01:03:26
    #5
    Üyeliği durduruldu
    Win adlı üyeden alıntı: mesajı görüntüle
    Kastedilen şey basit bir dil ile ifade etmek gerekirse; ilgili websitede ticket,contact-form, product details v.b açıgın kullanılabilen herhangi alanında javascript gömülerek, ilgili adminin ticket veyahut sipariş artık herneyse yönetici arayüzünde kontrol ettiğinde background üzerinde javascript kodunuzun çalışması ile, kodunuzda yer alacak sizin hedef belirlediğiniz alan adına cookie verilerini göndermesi sonucu akabinde ilgili cookieleri websitesinde kullanarak arayüze erişim sağlamış olursunuz.
    tamam anladım. script taglarını yedirdikten sonra sınır yok ztn. herşeyi yapabilirsin. ama script i yediremezsen veritabanına xss çalışmaz. o zmn xss backend te çözülebilecek bir durum
  • 07-10-2023, 01:07:19
    #6
    byjameson adlı üyeden alıntı: mesajı görüntüle
    tamam anladım. script taglarını yedirdikten sonra sınır yok ztn. herşeyi yapabilirsin. ama script i yediremezsen veritabanına xss çalışmaz. o zmn xss backend te çözülebilecek bir durum
    Farklı senaryolar söz konusu olabilir, sonuç itibari ilgili açığın çözülmesi çok basit bir eylemdir.

    PHP 'de sık kullanılan yöntem

    htmlspecialchars($veri, ENT_QUOTES, 'UTF-8');
    Fakat birçok ücretli/ücretsiz panelde Mod_Security - WAF tarzı ek uygulamalar aktif edilerek, yazılımsal anlamda gözden kaçan herhangi bir unsur olsa bile bu şekilde POST/GET/HEAD v.b türevlerinde gerçekleşecek tüm datalar hazır ve geliştirilebilir rule dosyaları ile filtre edilmekte, sadece XSS için değil birçok kapsamda destek sağlamaktadır.
  • 07-10-2023, 01:31:54
    #7
    Regnos.com
    Herşey olabilir. Günümüzde çok yaygın olmayan basit açıklar olduğu için önemsenmiyor. Ama sitenizde xss açığı varsa açığa göre çok ileriye de gidebilir.
  • 07-10-2023, 05:26:05
    #8
    eski bir siber güvenlik uzmanı olarak şunu söyleyebilirim az xss to root yapmadık önemsiz gözüken önemli bir açıktır, dikkate alın.