SK

Çerez Kullanımı

Bu web sitesi, deneyiminizi iyileştirmek ve site kullanımını analiz etmek için çerezler kullanmaktadır. Gizlilik Politikası sayfamızdan detaylı bilgi alabilirsiniz. Çerezleri kabul ederek, KVKK kapsamında verilerinizin işlenmesine onay vermiş olursunuz.

Samet Karabulut - Cross-Site Scripting (XSS) Zafiyeti: Reflected, Stored, DOM-Based XSS
#XSSZAFIYETI #REFLECTEDXSS #STOREDXSS #DOM-BASEDXSS #SIBERGüVENLIK #REDTEAM #PENETRATIONTESTING #SıZMATESTI

Cross-Site Scripting (XSS) Zafiyeti: Reflected, Stored, DOM-Based XSS

Samet Karabulut

February 9, 2026

3 min read

XSS Zafiyeti: Giriş

XSS zafiyeti, web uygulamalarında karşılaştığım en yaygın güvenlik açıklarından biridir. Sızma testlerinde sıklıkla karşılaşıyorum ve bu zafiyetin önemini vurgulamak istiyorum. XSS, saldırganların kullanıcıların tarayıcılarında çalıştırabileceği kötü amaçlı kodları içerir.

Deneyimime göre, birçok web uygulaması güncellenmemekte veya yanlış yapılandırılmaktadır. Bu da saldırganların kolayca yararlanabileceği açıklar oluşturmaktadır. Sızma testlerinde gördüğüm kadarıyla, bu tür açıkların çoğu,ufficient güvenlik önlemlerinin alınmamasından kaynaklanmaktadır.

XSS Zafiyeti Türleri

Reflected XSS

Reflected XSS, saldırganların kullanıcıların tarayıcılarına kötü amaçlı kodları yansıtmalarına izin veren bir zafiyettir. Bu zafiyet, genellikle kullanıcı girişinin doğrulanmaması veya kötü amaçlı kodların filtrelenmemesinden kaynaklanmaktadır.

curl -X GET 'https://örnek.com/arama?q=alert(1)'

Yukarıdaki örnekte, saldırganlar arama sonucunda kötü amaçlı kodları çalıştırabilirler.

Stored XSS

Stored XSS, saldırganların kötü amaçlı kodları sunucuda depolamasına ve daha sonra kullanıcıların tarayıcılarında çalıştırılmasına izin veren bir zafiyettir. Bu zafiyet, genellikle kullanıcı girişinin doğrulanmaması veya kötü amaçlı kodların filtrelenmemesinden kaynaklanmaktadır.

curl -X POST -d 'kullanıcı_adı=alert(1)' https://örnek.com/kayıt

Yukarıdaki örnekte, saldırganlar kayıt sonucu kötü amaçlı kodları çalıştırabilirler.

DOM-Based XSS

DOM-Based XSS, saldırganların kullanıcıların tarayıcılarında kötü amaçlı kodları çalıştırmasına izin veren bir zafiyettir. Bu zafiyet, genellikle JavaScript kodlarının doğrulanmaması veya kötü amaçlı kodların filtrelenmemesinden kaynaklanmaktadır.

const kullanıcıGirdisi = 'alert(1)';
const element = document.getElementById('örnek');
element.innerHTML = kullanıcıGirdisi;

Yukarıdaki örnekte, saldırganlar DOM manipülasyonu yaparak kötü amaçlı kodları çalıştırabilirler.

XSS Zafiyeti Önleme

XSS zafiyetini önlemek için, web uygulamalarında güvenlik önlemlerini almak önemlidir. Kullanıcı girişini doğrulamak, kötü amaçlı kodları filtrelemek ve JavaScript kodlarını güncellemek, saldırganların kolayca yararlanabileceği açıkları önlemektedir.

Sonuç

XSS zafiyeti, web uygulamalarında karşılaştığım en yaygın güvenlik açıklarından biridir. Sızma testlerinde sıklıkla karşılaşıyorum ve bu zafiyetin önemini vurgulamak istiyorum. XSS zafiyeti önlemek için, web uygulamalarında güvenlik önlemlerini almak önemlidir. Kullanıcı girişini doğrulamak, kötü amaçlı kodları filtrelemek ve JavaScript kodlarını güncellemek, saldırganların kolayca yararlanabileceği açıkları önlemektedir.

Yorumlar

Henüz yorum yok. İlk yorumu sen yap.