• 02-04-2026, 01:41:49
    #1
    Merhaba sitelerinizde xss acıgı var mı veya nerede var veya fixlenmesi icin hem frontend hem backend (sql) tarafındaki bugları kesfedip fixleyen scriptimi ücretsiz paylasmak istedim.

    NASIL KULLANILIR?
    1. Dosyayı mega.nzden indirdikten sonra hostinge atın.
    2. Sitenizde siteadresi/xssfixer.php ye gidin
    3. host name (local host genelde), veritabanı adı,veritabanı kullanıcı adı,veri tabanı adını girin.
    4. Son olarak güvenlik tarması baslatın cıkan hatalara bakın ve fixleye tıklayın bitti.

    İndirme linki: https://mega.nz/file/SR9AwJJK#I-uRY8...CPCOkn_yOb09z4

    Demo: https://tamproxy.com.tr/xssfixer.php (Benim web sitem diye db kullanıcı adı ve sifre giremideksiniz sadece görüntüyü kavrayın diye.)
  • 02-04-2026, 01:54:43
    #2
    Teşekkürler
  • 02-04-2026, 02:36:52
    #3
    Ücretsiz kaynak paylaşımınız takdire şayan lakin şu sorunların iyileştirilmesi gerekmektedir;

    1. Sorun
    Select id
    Olarak veritabanından kontrol yapılıyor eğer veritabanı yapınızda id sütunu user_id vb. Farklı birşeyse çalışmayacaktır.

    2. Sorun regex kısmı basit kalmış
    Tüm yapılarla uyumlu değil Dosyaları bozabilecek düzeyde.

    ⚠️Kullanacaklar yedek almadan kullanmamalı ve tamamen güvenmemeli
  • 02-04-2026, 12:14:57
    #4
    pale100 adlı üyeden alıntı: mesajı görüntüle
    Ücretsiz kaynak paylaşımınız takdire şayan lakin şu sorunların iyileştirilmesi gerekmektedir;

    1. Sorun
    Select id
    Olarak veritabanından kontrol yapılıyor eğer veritabanı yapınızda id sütunu user_id vb. Farklı birşeyse çalışmayacaktır.

    2. Sorun regex kısmı basit kalmış
    Tüm yapılarla uyumlu değil Dosyaları bozabilecek düzeyde.

    ⚠️Kullanacaklar yedek almadan kullanmamalı ve tamamen güvenmemeli
    Merhaba hocam,
    Direk fixlemiyor buldugu hataları gösterdikten sonra fixleye basınca fixliyor.
    ve Select id kısmında haklısınız her veritabanı yapısı ile uyumlu degil.

    Yedek alınmasını ve fixlemeden önce yapılıcak degisiklikleri kontrol etmeleri cok daha iyi olur sonucta her site ve her sitenin yapısı farklı.
  • 02-04-2026, 12:53:13
    #5
    Kodun çalışmasını engelleyebilecek veya hatalı çalışmasına neden olacak noktalar:
    • Regex ile XSS Temizleme Yetersizdir: cleanFileContent fonksiyonu sadece basit <script> etiketlerini temizliyor. XSS saldırıları binlerce farklı varyasyona (örneğin: <img src=x onerror=alert(1)>, background-image: url(...), vb.) sahiptir. Regex ile XSS engellemeye çalışmak her zaman sızılabilir bir yöntemdir.
    • Dosya Yazma Tehlikesi: fixFiles fonksiyonu preg_replace_callback kullanarak PHP dosyalarını düzenliyor. Eğer dosyanın içinde karmaşık bir yapı varsa, PHP tag'lerini bozup sitenin tamamen çökmesine (White Screen of Death) neden olabilir.
    • Veritabanı Araması: LIKE '%<%' araması büyük veritabanlarında performansı çok düşürür. Ayrıca, veritabanındaki her < karakteri XSS değildir (örneğin matematiksel bir metin olabilir), kod bunları da bozacaktır.
  • 04-04-2026, 12:53:22
    #6
    ntka adlı üyeden alıntı: mesajı görüntüle
    Kodun çalışmasını engelleyebilecek veya hatalı çalışmasına neden olacak noktalar:
    • Regex ile XSS Temizleme Yetersizdir: cleanFileContent fonksiyonu sadece basit <script> etiketlerini temizliyor. XSS saldırıları binlerce farklı varyasyona (örneğin: <img src=x onerror=alert(1)>, background-image: url(...), vb.) sahiptir. Regex ile XSS engellemeye çalışmak her zaman sızılabilir bir yöntemdir.
    • Dosya Yazma Tehlikesi: fixFiles fonksiyonu preg_replace_callback kullanarak PHP dosyalarını düzenliyor. Eğer dosyanın içinde karmaşık bir yapı varsa, PHP tag'lerini bozup sitenin tamamen çökmesine (White Screen of Death) neden olabilir.
    • Veritabanı Araması: LIKE '%<%' araması büyük veritabanlarında performansı çok düşürür. Ayrıca, veritabanındaki her < karakteri XSS değildir (örneğin matematiksel bir metin olabilir), kod bunları da bozacaktır.
    Evet hocam.
    Bunları dikkate alarak düzenlenmis cok daha iyi versiyonunu yakında yapıcam.