Xss atağin zararlari?
7
●190
- 07-10-2023, 00:56:39Üyeliği durdurulduadmin cookie çalması için admin in kullandığı pc ye ulaşması gerekiyo o nası olcak?Setindir adlı üyeden alıntı: mesajı görüntüle
- 07-10-2023, 01:00:42Kastedilen şey basit bir dil ile ifade etmek gerekirse; ilgili websitede ticket,contact-form, product details v.b açıgın kullanılabilen herhangi alanında javascript gömülerek, ilgili adminin ticket veyahut sipariş artık herneyse yönetici arayüzünde kontrol ettiğinde background üzerinde javascript kodunuzun çalışması ile, kodunuzda yer alacak sizin hedef belirlediğiniz alan adına cookie verilerini göndermesi sonucu akabinde ilgili cookieleri websitesinde kullanarak arayüze erişim sağlamış olursunuz.byjameson adlı üyeden alıntı: mesajı görüntüle
- 07-10-2023, 01:03:26Üyeliği durduruldutamam anladım. script taglarını yedirdikten sonra sınır yok ztn. herşeyi yapabilirsin. ama script i yediremezsen veritabanına xss çalışmaz. o zmn xss backend te çözülebilecek bir durumWin adlı üyeden alıntı: mesajı görüntüle
- 07-10-2023, 01:07:19Farklı senaryolar söz konusu olabilir, sonuç itibari ilgili açığın çözülmesi çok basit bir eylemdir.byjameson adlı üyeden alıntı: mesajı görüntüle
PHP 'de sık kullanılan yöntem
htmlspecialchars($veri, ENT_QUOTES, 'UTF-8');
Fakat birçok ücretli/ücretsiz panelde Mod_Security - WAF tarzı ek uygulamalar aktif edilerek, yazılımsal anlamda gözden kaçan herhangi bir unsur olsa bile bu şekilde POST/GET/HEAD v.b türevlerinde gerçekleşecek tüm datalar hazır ve geliştirilebilir rule dosyaları ile filtre edilmekte, sadece XSS için değil birçok kapsamda destek sağlamaktadır.
önemsiz gözüken önemli bir açıktır, dikkate alın.