SK

Çerez Kullanımı

Bu web sitesi, deneyiminizi iyileştirmek ve site kullanımını analiz etmek için çerezler kullanmaktadır. Gizlilik Politikası sayfamızdan detaylı bilgi alabilirsiniz. Çerezleri kabul ederek, KVKK kapsamında verilerinizin işlenmesine onay vermiş olursunuz.

Samet Karabulut - Reflected XSS ve HTML Attribute Manipulation - Siber Güvenlik
#SIBERGüVENLIK #REFLECTEDXSS #HTMLATTRIBUTEMANIPULATION #CROSS-SITESCRIPTING #PENETRATIONTESTING #SıZMATESTI

Reflected XSS ve HTML Attribute Manipulation - Siber Güvenlik

Samet Karabulut

March 23, 2026

3 min read

Reflected XSS ve HTML Attribute Manipulation

Reflected XSS (Yansıtılan Cross-Site Scripting), saldırganların kurbanın tarayıcısında çalıştırılmak üzere kötü amaçlı bir script oluşturmasına olanak tanıyan bir güvenlik açığıdır. Bu açıklar genellikle, kullanıcı girişlerini doğrulamayan ve bu girişleri temizlemeden web sayfasına geri yansıtan uygulamalarda görülür.

Benim sızma testi deneyimime göre, bu tür açıkların çoğu, geliştiricilerin kullanıcı girişlerini doğrulama ve temizleme önlemlerini almamasından kaynaklanmaktadır. Bir saldırgan, bu açıkları kullanarak, kurbanın tarayıcısında çalıştırılmak üzere kötü amaçlı bir script oluşturabilir.

Tespit

Tespit için Nmap, Nikto ve Burp Suite gibi araçları kullanıyorum. Örneğin, Nmap ile bir web uygulamasının açık portlarını tespit edebilir ve Nikto ile bu uygulamanın olası güvenlik açıklarını tespit edebiliriz.

nmap -sV -p 80 example.com

Burp Suite ile de, kullanıcı girişlerinin nasıl işlendiğini ve bu girişlerin temizlenip temizlenmediğini analiz edebiliriz.

Sömürü

Sömürü için, saldırganın kurbanın tarayıcısında çalıştırılmak üzere bir kötü amaçlı script oluşturması gerekir. Bu script, genellikle bir HTML attribute manipulation saldırısı ile birlikte kullanılır.

<img src="https://example.com/image.jpg">

Bu örnek, bir img etiketinin src atributunun bir hata durumunda çalıştırılacak bir script ile manipüle edildiğini gösterir.

Çözüm ve Önlem

Çözüm ve önlem için, geliştiricilerin kullanıcı girişlerini doğrulama ve temizleme önlemlerini almaları gerekir. Ayrıca, HTML attribute manipulation saldırılarına karşı korumak için, uygulamalarında appropriate coding ve escaping tekniklerini kullanmaları da önemlidir.

Benim gözlemlerim, sızma testlerinde gördüğüm kadarıyla, bu tür açıkların çoğu, geliştiricilerin kullanıcı girişlerini doğrulamaması ve temizlememesinden kaynaklanmaktadır. Dolayısıyla, geliştiricilerin bu konuya dikkat etmeleri ve gerekli önlemleri almaları önemlidir.

Sonuç

Reflected XSS ve HTML attribute manipulation, önemli güvenlik açıklarıdır. Geliştiricilerin, kullanıcı girişlerini doğrulama ve temizleme önlemlerini almaları ve uygulamalarında appropriate coding ve escaping tekniklerini kullanmaları önemlidir. Benim deneyimime göre, sızma testleri ve kırmızı takım çalışmaları, bu tür açıkların tespit edilmesinde ve önlenmesinde çok önemlidir.

Yorumlar

Henüz yorum yok. İlk yorumu sen yap.