You are here : / / XSS Nedir?

5 Ocak 2025 Pazar

XSS Nedir?



XSS (Cross-Site Scripting), bir web uygulamasındaki güvenlik açığını ifade eder ve genellikle kötü niyetli kullanıcıların başka bir kullanıcıya zararlı kod enjekte etmesine olanak tanır. XSS, bir saldırganın başka bir kullanıcıya ait verileri çalmak, oturum çerezlerini ele geçirmek veya zararlı içerik çalıştırmak için kullanabileceği yaygın bir güvenlik açığıdır.

XSS Türleri

  1. Stored XSS (Depolanmış XSS):

    • Zararlı kod, bir web uygulamasının veritabanına veya kalıcı bir depolama alanına kaydedilir.
    • Örnek: Bir yorum formuna zararlı JavaScript kodu eklenir ve bu yorum her gösterildiğinde tüm kullanıcılar etkilenir.

  2. Reflected XSS (Yansıtılmış XSS):

    • Zararlı kod, hemen web sunucusu üzerinden yansıtılır ve kurbanın tarayıcısında çalıştırılır.
    • Örnek: URL'de gönderilen kötü niyetli bir sorgu parametresi, bir arama sonucu sayfasında çalıştırılır.

  3. DOM-Based XSS:

    • Zararlı kod, doğrudan istemci tarafında (tarayıcıda) çalışır ve genellikle JavaScript'in yanlış kullanımından kaynaklanır.
    • Örnek: Kullanıcı girdisinin güvenli bir şekilde işlenmediği dinamik sayfa güncellemeleri.

XSS'nin Tehlikeleri

  • Çerez Hırsızlığı: Kullanıcıların oturum bilgileri çalınabilir.
  • Kimlik Avı: Kullanıcılar sahte formlara yönlendirilebilir.
  • Zararlı Kod Çalıştırma: Kullanıcı bilgisayarına kötü amaçlı yazılım yüklenebilir.
  • Hizmet Kesintisi: Sistem kararsız hale getirilebilir veya kullanıcı deneyimi bozulabilir.

XSS'yi Önlemek İçin Alınabilecek Önlemler

  1. Girdi Doğrulama ve Filtreleme:

    • Kullanıcı girdilerini doğrulayarak beklenmeyen karakterleri engelleyin.
    • HTML, JavaScript ve diğer kodlarla ilgili karakterleri kodlayın.

  2. Çıkış Kodlaması (Output Encoding):

    • Kullanıcı girdileri sayfada görüntülenmeden önce uygun şekilde kodlanmalıdır.

  3. CSP (Content Security Policy) Kullanımı:

    • CSP, yalnızca güvenilen kaynaklardan gelen içeriğin çalıştırılmasına izin verir.

  4. HTTPOnly ve Secure Çerez Kullanımı:

    • Çerezler, JavaScript üzerinden erişilemez ve güvenli bağlantılarla sınırlandırılmalıdır.

  5. Kütüphane ve Çerçeve Güvenliği:

    • Uygulamada kullanılan kütüphane ve framework'ler güncel tutulmalıdır.


 

Benzer Yayınlar

XSS Nedir?
4/ 5
Oleh
Yorum

Abone Olun

Yazılarımızı beğeniyor musunuz?Abone Olun Yazılarımı Kaçırmayın.

Lütfen yorum yaparken şunlara dikkat ediniz:

Küfürlü, siyasi veya huzur bozucu yorumlar yapmamaya,
Reklam, spam gibi yorumlar yapmamaya.

Kaydol: Kayıt Yorumları (Atom)