DOM XSS
DOM, document object model adında bir terimdir ve tarayıcılarda bu oluşturulur. Veri yapısı bir nevi ağaç gibi, sayfa ile ilgili herşey buradadır. HTML parse işlemi yapıldıktan sonra oluşturulur. Tarayıcı haricinde HTML parse yapan ve DOM yaratan BeautifulSoup gibi API'ler de mevcuttur.
Belli bir davranış kalıbına dayalı yansımalı veya kaydedilmiş XSS'den farklı üçüncü bir tür de DOM XSS açıklığı (zaafiyeti). Burada saldırganın JavaScript kodu kurban bilgisayarında çalışır ve kurbanın tarayıcısındaki DOM'a müdahale veya bilgi alınması söz konusu olur.
Aşağıdaki kodda örneğin güvenli olmayan DOM güncellemesi mevcut:
jquery'deki .html yerine .text kullanılması daha uygundu! Jquery olmasaydı:
gibisinden bir kod olacaktı.
DOM XSS'de kullanıcıya gönderilen hazırlanmış link kullanıcı tarafından tıklandığında kullanıcı bilgileri, kullanıcının gideceği adres, oturum çerezleri, zararlı indirme, DOM güncelleme vb. tüm ayarlar yapılabildiği bir açıklıktır.
Not: Bu atak istemci taradında işlediğinden sunucu tarafında anlaşılamaz.
Last updated
Was this helpful?