SK

Çerez Kullanımı

Bu web sitesi, deneyiminizi iyileştirmek ve site kullanımını analiz etmek için çerezler kullanmaktadır. Gizlilik Politikası sayfamızdan detaylı bilgi alabilirsiniz. Çerezleri kabul ederek, KVKK kapsamında verilerinizin işlenmesine onay vermiş olursunuz.

Samet Karabulut - Siber Güvenlik: Reflected XSS ve HTML Attribute Manipulation
#SIBERGüVENLIK #REDTEAM #PENETRATIONTESTING #SıZMATESTI #REFLECTEDXSS #HTMLATTRIBUTEMANIPULATION

Siber Güvenlik: Reflected XSS ve HTML Attribute Manipulation

Samet Karabulut

January 30, 2026

3 min read

Giriş

Reflected XSS ve HTML Attribute Manipulation, web uygulamalarında karşılaştığım kritik zafiyetler arasında yer alıyor. Sızma testi deneyimime dayanarak, bu tür açıkların nasıl tespit edildiğini ve sömürüldüğünü partagermek istiyorum.

Siber güvenlik alanında, web uygulamalarının güvenliğini değerlendirmek için sızma testleri gerçekleştirdiğim kadar, bu tür açıkları nasıl önleyebileceğimizi de öğrenmek önemlidir. Reflected XSS ve HTML Attribute Manipulation, web uygulamalarında karşılaştığım en sık görülen zafiyetler arasında yer alıyor.

Reflected XSS

Reflected XSS, kullanıcı girdisinin sunucuya gönderildiği ve geri döndüğü durumda ortaya çıkan bir zafiyettir. Bir saldırgan, kurbanın tarayıcısını kendi kontrolü altındaki bir sunucuya yönlendirebilir ve bu sayede kurbanın hassas bilgilerine erişebilir.

<script>alert('XSS')</script>

Yukarıdaki kod, bir Reflected XSS saldırı exemplesidir. Bu tür saldırılar, genellikle kullanıcı girdisinin doğrulanmadığı durumlarda ortaya çıkar.

Tespit

Reflected XSS zafiyetini tespit etmek için, Nmap ve Nikto gibi araçları kullanıyorum. Bu araçlar, web uygulamasının güvenlik açıklarını tarayarak, olası zafiyetleri tespit ediyor.

nmap -sV --script=http-vuln-cve2010-2861.nse

Sömürü

Reflected XSS zafiyetini sömürmek için, bir saldırganın kurbanın tarayıcısını kendi kontrolü altındaki bir sunucuya yönlendirmesi gerekir. Bu, genellikle bir phishing saldırısı aracılığıyla gerçekleştirilir.

<a href="http://saldirgan_sunucusu.com/xss.php?kullanici_girdisi=<script>alert('XSS')</script>">Tıkla</a>

HTML Attribute Manipulation

HTML Attribute Manipulation, bir web uygulamasının HTML atributlarının değiştirilmesi yoluyla gerçekleştirilen bir zafiyettir. Bir saldırgan, kurbanın tarayıcısında executing kod çalıştırabilir ve bu sayede kurbanın hassas bilgilerine erişebilir.

<img src="x"XSS')">

Yukarıdaki kod, bir HTML Attribute Manipulation saldırı exemplesidir. Bu tür saldırılar, genellikle kullanıcı girdisinin doğrulanmadığı durumlarda ortaya çıkar.

Tespit

HTML Attribute Manipulation zafiyetini tespit etmek için, Burp Suite gibi araçları kullanıyorum. Bu araçlar, web uygulamasının güvenlik açıklarını tarayarak, olası zafiyetleri tespit ediyor.

burpsuite --scan

Sömürü

HTML Attribute Manipulation zafiyetini sömürmek için, bir saldırganın kurbanın tarayıcısında executing kod çalıştırması gerekir. Bu, genellikle bir phishing saldırısı aracılığıyla gerçekleştirilir.

<a href="http://saldirgan_sunucusu.com/attribute_manipulation.php?kullanici_girdisi=<img src="x"XSS')">">Tıkla</a>

Sonuç

Reflected XSS ve HTML Attribute Manipulation, web uygulamalarında karşılaştığım kritik zafiyetler arasında yer alıyor. Bu tür açıkları önlemek için, web uygulamalarının güvenlik açıklarını düzenli olarak tarayarak, olası zafiyetleri tespit etmek ve bunları gidermek önemlidir. Ayrıca, kullanıcı girdisinin doğrulanması ve sunucunun güvenliği sağlanmalıdır.

Yorumlar

Henüz yorum yok. İlk yorumu sen yap.