SK

Çerez Kullanımı

Bu web sitesi, deneyiminizi iyileştirmek ve site kullanımını analiz etmek için çerezler kullanmaktadır. Gizlilik Politikası sayfamızdan detaylı bilgi alabilirsiniz. Çerezleri kabul ederek, KVKK kapsamında verilerinizin işlenmesine onay vermiş olursunuz.

Samet Karabulut - Stored XSS Zafiyeti ve Siber Güvenlik
#SIBERGüVENLIK #STOREDXSS #ANCHORHREFZAFIYETI #USERAGENTZAFIYETI #DOSYAYüKLEMEZAFIYETI #WEBUYGULAMAGüVENLIğI

Stored XSS Zafiyeti ve Siber Güvenlik

Samet Karabulut

April 20, 2026

3 min read

Stored XSS: Anchor Href, User Agent ve Dosya Yükleme Zafiyetleri

Benim sızma testi deneyimime göre,Stored XSS zafiyeti sıklıkla karşılaşılan bir sorun. Bu zafiyet, saldırganların Web uygulamalarına zararlı kod enjekte etmesine olanak tanır.

Stored XSS zafiyeti genellikle Web uygulamalarının kullanıcı girdilerini doğrulamaması veya düzgün bir şekilde temizlememesi sonucu ortaya çıkar. Bu durum, saldırganların zararlı kodları Web uygulamasının veritabanına veya dosya sistemine yerleştirmesine imkan tanır.

Anchor Href Zafiyeti

Anchor href zafiyeti, Web uygulamalarında kullanılan etiketlerinin href özniteliğinde bulunan zafiyettir. Bu zafiyet, saldırganların zararlı kodları href özniteliğine yerleştirmesine olanak tanır.

<a href="javascript:alert('XSS')">Tıkla</a>

Yukarıdaki örnekte, saldırganlar href özniteliğine JavaScript kodu yerleştirmişlerdir. Bu kod, kullanıcının linki tıklaması durumunda çalışır ve XSS zafiyeti ortaya çıkar.

User Agent Zafiyeti

User Agent zafiyeti, Web uygulamalarının kullanıcıların tarayıcı bilgilerini doğrulamaması veya düzgün bir şekilde temizlememesi sonucu ortaya çıkan zafiyettir. Bu durum, saldırganların zararlı kodları User Agent başlığına yerleştirmesine imkan tanır.

curl -X GET \
  http://example.com \
  -H 'User-Agent: <script>alert('XSS')</script>'

Yukarıdaki örnekte, saldırganlar User Agent başlığına JavaScript kodu yerleştirmişlerdir. Bu kod, kullanıcının Web uygulamasına erişim sağladığında çalışır ve XSS zafiyeti ortaya çıkar.

Dosya Yükleme Zafiyeti

Dosya yükleme zafiyeti, Web uygulamalarının kullanıcıların yüklediği dosyaları doğrulamaması veya düzgün bir şekilde temizlememesi sonucu ortaya çıkan zafiyettir. Bu durum, saldırganların zararlı dosyaları Web uygulamasına yüklemesine imkan tanır.

$file = $_FILES['file']['name'];
move_uploaded_file($_FILES['file']['tmp_name'], 'uploads/' . $file);

Yukarıdaki örnekte, Web uygulaması kullanıcıların yüklediği dosyaları doğrulamadan veya temizlemeden yükler. Bu durum, saldırganların zararlı dosyaları Web uygulamasına yüklemesine imkan tanır.

Sonuç

Stored XSS zafiyeti, Web uygulamaları için önemli bir güvenlik tehdididir. Bu zafiyeti önlemek için, Web uygulamalarının kullanıcı girdilerini doğrulaması ve düzgün bir şekilde temizlemesi gerekir. Ayrıca, Web uygulamalarının güncel tutulması ve uygun konfigürasyonların yapılması da önemlidir.

Yorumlar

Henüz yorum yok. İlk yorumu sen yap.