Yansımalı (Reflected) XSS
Last updated
Was this helpful?
Last updated
Was this helpful?
XSS, "cross-site-scripting" zaafiyeti olarak bilinir. CSS ile karıştırılmaması için X ile başlıyor. Kaynağına göre XSS'ler dört gruba ayrılabilir:
Yansımalı (Reflected)
Kaydedilmiş (Stored)
DOM (Doküman Obje Modeli)
Self (Öz?)
XSS zaafiyetinin tetiklenebilmesi için javascript kodunu çalıştırıp istediğimizi yapabilmemiz gerekir.
Amaç tarayıcı üzerinden kullanıcı bilgileri almaktır. XSS zaafiyeti bulunan linke "payload" yerleştirip kullanıcının bu linke tıklaması gerekir.
XSS, verinin ortam değiştirdiğinde anlamını değiştirmesi olarak da tanımlanabilir. XSS çıktıda gerçekleşir. Veri input kodlanmış (encoded) olmadığından bu zaafiyet yenir. Verinin kodlanmadığı durumda tarayıcıya gelen verinin yazılımcının ele almadığı şekilde yorumlanması zaafiyet oluşturur.
"Encode" etmek çözüm! Output encoding!