XSS Kullanicinin girdi saglayacagi sayfalarda kullanici tarafindan girdiye script’ler gömülerek yapilan saldirilardir. Bu bazen direkt kullanicinin (lamer) kendisi tarafindan ya da onu baska bir isteye yönlendirmek isteyen bir lamer tarafindan yapiliyor olabilir.
“Genelde cross site scripting açiklari saldirganin sistemi deneme-yanilma yaparak bulmasi ile ortaya çikar. Açigin bulunmasi ile saldirgan baska bir domainden açigin bulundugu domain ve sayfanin bilgilerini session bilgilerini ve diger obje degerlerini çalmasina olagan saglar.
"Cross-site scripting (XSS) güvenlik açiklari e-posta listelerinde en çok rastlanan güvenlik açiklari arasinda yer almaktadir. Bunun baslica nedeni ise bu açiga bir çok web uygulamasinda rastlanmasi ve ücretsiz güvenlik açigi tarama yazilimlari ile kolayca kesfedilmesidir..."
Çözüm:
Aslinda çözüm yazilan kodlamanin düzeltilmesindedir.
Programin kullanicidan aldigi girdiler her zaman kontrolden geçirilmelidir. Bu ayni zamanda "Sql injection" "Buffer Overflow" gibi saldirilari da engelleyecektir.
Eger belirli bir tür veri (numerik alfanümerik) bekleniyorsa ve belirli bir boyutta ( 8 karakter maksimum 20 karakter gibi) olmasi bekleniyorsa girilen verinin bu sartlara uydugunun saglanmasi gerekmektedir. Girdilerden ****karakter’ler mutlaka filtrelenmelidir. Bu birçok saldiriyi engelleyecektir. Örnegin ...
< > " ’ % ; ) ( & + -
karakterleri kullanici girdisinden temizlenmelidir. Aslinda ne tür verinin beklendigi belirtildigi durumlarda bu tür filtreleme de otomatikman gerçeklesecektir.Bu tür karakterlerin gerektigi ortamlarda girilen verinin encode edilmesi gerekebilir.Bu önlemler birçok XSS saldirisini engelleyecektir.Web üzerinden yazilim gelistirenlerin Cert’in referansinda yazili olanlara dikkat etmesi ve kodlamalarinda dökümanda belirtilen kurallara uymasi gerekmektedir.
Agda kurulacak bir sistemle bu saldirilarin engellenmesinin saglanmasi ise ancak sunuculari bir "proxy" veya IPS arkasina koyup her türlü data verisinin kontrolü ve düzeltilmesi ile saglanabilir. Bu süreçte ise idari ve teknik çesitli problemler yasanabilecektir.
En etkin yol dökümanda belirtildigi üzere sunuculardaki kodun tekrar elden geçirilmesidir. Eger kodu yazan ortaliklarda gözükmüyorsa ya o kod kaldirilmali ya da ag tabanli bir çözüme gidilmelidir.
Xss açığı kapatma / fixleme
Web Güvenlik Açıkları'nın paylaşıldığı bölüm.
-
- Onbaşı
- Mesajlar: 9
- Kayıt: 14 Tem 2020, 00:34
- Been thanked: 6 time
“WEB GÜVENLİK AÇIKLARI” sayfasına dön
Geçiş yap
- ANKA NEFERLER TİM
- ↳ DUYURULAR
- ↳ KENDİNİZİ TANITIN (YENİ ÜYELER)
- ↳ FORUM KURALLARI
- SİBER GÜVENLİK
- ↳ WEB GÜVENLİK AÇIKLARI
- ↳ BANKA VE MAİL GÜVENLİĞİ
- ↳ SOSYAL MÜHENDİSLİK
- ↳ SERVER GÜVENLİĞİ
- ↳ ŞİFRELEME
- ↳ TROJAN VE VİRÜSLER
- ↳ NETWORK GÜVENLİĞİ
- ↳ EXPLOİTLER
- GÖVDE GÖSTERİSİ
- ↳ GÖVDE GÖSTERİSİ
- YARDIM MERKEZİ
- ↳ YARDIM MERKEZİ
- GRAFİK VE VİDEO TASARIM
- ↳ GRAFİK TASARIM
- ↳ VİDEO TASARIM
- ↳ TASARIM PROGRAMLARI
- ↳ PHOTOSHOP
- ↳ ILLUSTRATOR
- ↳ FIREWORKS
- ↳ AFTER EFFECTS
- ↳ PREMİERE PRO
- ↳ YARDIM
- İŞLETİM SİSTEMLERİ
- ↳ WİNDOWS İŞLETİM SİSTEMLERİ
- ↳ PARDUS
- ↳ LİNUX
- ↳ MAC OS X
- ↳ DİĞER İŞLETİM SİSTEMLERİ
- WEBMASTER HAZIR SİSTEMLER VE ŞABLONLAR
- ↳ JOOMLA
- ↳ WORDPRESS
- ↳ VBULLETİN
- ↳ SMF(SİMPLE MACHİNES FORUM)
- ↳ MYSQL
- ↳ LOCALHOSTLAR; WAMPSERVER VE XAMPP
- PROGRAMLAMA
- ↳ GENEL DİLLER
- ↳ PHP,HTML
- ↳ ASP-ASP.NET-C#
- ↳ PHYTON
- ↳ JAVA
- MOBİL CİHAZLAR
- ↳ ANDROİD
- ↳ İOS,APPLE,İPAD
- ↳ TABLETLER
- ↳ WİNDOWS PHONE
- TEKNOLOJİ
- ↳ E-TİCARET
- ↳ YAPAY ZEKA
- GENEL
- ↳ HABERLER
- ↳ TÜRK TARİHİ
- ↳ İSLAMİYET
- ↳ SORU/CEVAP
- ↳ ŞİKAYETLER
- ↳ KONU DIŞI