Reflected Yansıtılmış XSS

 


Reflected Yansıtılmış XSS

Merhaba bugün Reflected Yansıtılmış XSS açığını anlatacağım hemen geçelim. Bir sitede yansıtılmış XSS açığı var diyebilmemiz için o siteye ait herhangi bir girdi noktasından girdiğimiz değerin hiçbir değişikliğe uğramadan bize geri gönderiliyor olması (yansıması) gerekmektedir.

Örneğin bir arama kutucuğuna ABC yazarsanız ve ilgili site size "ABC ile ilgili arama sonuçları aşağıdadır" veya " ABC araması başarı ile sonuçlanmıştır " diye bir cevap döner. O zaman böyle bir sitede arama kısmına ABC yerine bir javascript komutu uazar isek; bu komut bizim bilgisayarımıza aynı şekilde sunucudan gönderilicektir.


        Yani arama kutucuğudan sunucuya gönderdiğimiz javascript kodu sunucudan yansıyarak bize gelir ve bizim tarayıcımız üzerinde çalışır.

        Bu saldırı tipi için öncelikle saldırgan tarafından hazırlanmış XSS açıklığı bulunan siteye ihtiyaç vardır. Saldıran zararlı javascript kodu içeren sitenin URL link'ini bir şekilde kurbana tıklattırmalıdır. Kurban zararlı kod içeren siteye girince zrarlı kod çalıçacak atak gerçekleşmiş olucaktır.

        Peki ya Reflected Yansıtılmış XSS ile ne yapılabilir?

Kurbana ait olan cookie bilgilerini çalabilir ve kurban gibi ilgili siteye girip yapabilir. Fakat burada saldırgan zararlı kodu cookie bilgisini almak istediği için ilgili siteye enjekte etmek zorundadır. Çünkü bir site ancak kendine ait cookie değerine erişebilir. Farklı sitelerin cookie bilgisine erişemez.

Sizi başka bir siteye yönlendirebilir, Bilgisayarınızda ard arda ilgisiz onlarca sayfa açılabilir


Bugün ki konumuz bu kadar arkidaşlar.

iyi günler

Yorum Gönder

0 Yorumlar

Hack Forum