SK

Çerez Kullanımı

Bu web sitesi, deneyiminizi iyileştirmek ve site kullanımını analiz etmek için çerezler kullanmaktadır. Gizlilik Politikası sayfamızdan detaylı bilgi alabilirsiniz. Çerezleri kabul ederek, KVKK kapsamında verilerinizin işlenmesine onay vermiş olursunuz.

Samet Karabulut - Siber Güvenlik: Reflected XSS ve HTML Attribute Manipulation
#SIBERGüVENLIK #REDTEAM #PENETRATIONTESTING #SıZMATESTI #REFLECTEDXSS #HTMLATTRIBUTEMANIPULATION

Siber Güvenlik: Reflected XSS ve HTML Attribute Manipulation

Samet Karabulut

February 15, 2026

3 min read

Merhaba, siber güvenlik alanındaime dayanarak, bu yazıda Reflected XSS ve HTML Attribute Manipulation konularına değineceğim. Bu konular, sızma testlerinde sıkça karşılaştığım ve önemini vurgulamak istediğim hususlardır.

Bu zafiyetler, web uygulamalarında kullanıcı girişlerinin doğrulanmaması veya yanlış yönlendirilmesi sonucu ortaya çıkabilir. Dolayısıyla, web uygulamalarının güvenliğini sağlamak için bu konular hakkında bilgi sahibi olmak kritik önem taşımaktadır.

Reflected XSS

Reflected XSS, kullanıcı girişinin doğrulanmaması sonucu ortaya çıkan bir zafiyettir. Bu zafiyet, saldırganların kullanıcıları kendi istedikleri sitelere yönlendirmelerine olanak sağlar.

Örneğin, bir web uygulamasına 

curl -X GET 'https://www.example.com/search?q=alert(1)'
şeklinde bir istek gönderilebilir. Eğer web uygulaması bu girişi doğrulamazsa, saldırganlar kullanıcıları kendi istedikleri sitelere yönlendirebilirler.

Tespit

Reflected XSS zafiyetini tespit etmek için, Nmap veya ZAP gibi araçlar kullanılabilir.

Örneğin, Nmap ile bir web uygulamasını taramak için 

nmap -sV --script=http-vuln-cve2010-2861
komutu kullanılabilir.

Çözüm

Reflected XSS zafiyetini etmek için, web uygulamalarının kullanıcı girişlerini doğru bir şekilde doğrulaması gerekmektedir.

Örneğin, PHP dilinde, 

$search_query = htmlspecialchars($_GET['q'], ENT_QUOTES, 'UTF-8');
şeklinde bir kod verwendetabilir.

HTML Attribute Manipulation

HTML Attribute Manipulation, saldırganların web sayfalarında bulunan attribute'leri değiştirmelerine olanak sağlayan bir zafiyettir.

Örneğin, bir web sayfasında bulunan bir button'un attribute'leri değiştirilerek, kullanıcıların farklı bir sayfaya yönlendirilmesi sağlanabilir.

Örneğin, 

Giriş Yap
şeklinde bir kod verwendetabilir.

Tespit

HTML Attribute Manipulation zafiyetini tespit etmek için, Burp Suite gibi araçlar kullanılabilir.

Örneğin, Burp Suite ile bir web uygulamasını taramak için 

burpsuite --proxy
komutu kullanılabilir.

Çözüm

HTML Attribute Manipulation zafiyetini etmek için, web uygulamalarının attribute'lerini doğru bir şekilde doğrulaması gerekmektedir.

Örneğin, JavaScript dilinde, 

const button = document.querySelector('button');
button.addEventListener('click', function() {
  // attribute'leri doğrula
  if (button.getAttribute('onclick') === 'location.href='https://www.example.com/malicious-page') {
    // güvenliği sağlamak için gerekli işlemleri yaptır
  }
});
şeklinde bir kod verwendetabilir.

Sonuç

Reflected XSS ve HTML Attribute Manipulation, web uygulamalarında önemli güvenlik zafiyetleridir. Bu zafiyetleri etmek için, web uygulamalarının kullanıcı girişlerini ve attribute'lerini doğru bir şekilde doğrulaması gerekmektedir.

Siber güvenlik alanında experiencia sahip olmak, bu tür zafiyetleri tespit etmek ve gii quyt etmek için kritik önem taşımaktadır. Dolayısıyla, web uygulamalarının güvenliğini sağlamak için, bu konular hakkında bilgi sahibi olmak ve gerekli önlemleri almak önemlidir.

Yorumlar

Henüz yorum yok. İlk yorumu sen yap.