- 23 Tem 2023
- 92
- 82
Selamlar arkadaşlar bu konumda WebSocket teknolojisi hakkında konuşacağız. Umarım faydalı olur.
WebSocket Nedir?
WebSocket bir iletişim protokolüdür ve genellikle web uygulamalarında gerçek zamanlı, çift yönlü iletişim sağlamak için kullanılır. WebSocket, HTTP protokolü üzerinde çalışır ve sunucu ile istemci arasında sürekli bir bağlantı kurarak veri iletişimine olanak tanır. WebSocket'in kullanım alanları geniş kapsamlıdır ve genellikle canlı sohbet uygulamaları, oyunlar, finansal uygulamalar ve gerçek zamanlı veri analizi gibi alanlarda tercih edilir. Bu protokol, HTTP tabanlı iletişim yöntemlerine göre daha etkili ve performanslı bir iletişim sağlar.
WebSocket Zararları
WebSocket'in kullanımıyla ilişkilendirilebilecek bazı güvenlik açıkları şunlardır;
XSS (Cross-Site Scripting)
CSRF (Cross-Site Request Forgery)
Veri Doğrulaması ve Güvenliği
Bağlantı Sınırı ve DoS Saldırıları
Bu güvenlik açıklarını önlemek için, güçlü kimlik doğrulama ve oturum yönetimi, veri doğrulaması ve şifreleme, güvenli kodlama uygulamaları gibi önlemler alınmalıdır. Ayrıca, düzenli güvenlik denetimleri ve güncellemeler de önemlidir.
WebSocket Alternatifleri
WebSocket, gerçek zamanlı iletişim için güçlü bir protokol olsa da, bazı durumlarda veya belirli gereksinimler için alternatifler de mevcuttur. İşte WebSocket alternatiflerinden bazıları:WebSocket Nedir?
WebSocket bir iletişim protokolüdür ve genellikle web uygulamalarında gerçek zamanlı, çift yönlü iletişim sağlamak için kullanılır. WebSocket, HTTP protokolü üzerinde çalışır ve sunucu ile istemci arasında sürekli bir bağlantı kurarak veri iletişimine olanak tanır. WebSocket'in kullanım alanları geniş kapsamlıdır ve genellikle canlı sohbet uygulamaları, oyunlar, finansal uygulamalar ve gerçek zamanlı veri analizi gibi alanlarda tercih edilir. Bu protokol, HTTP tabanlı iletişim yöntemlerine göre daha etkili ve performanslı bir iletişim sağlar.
WebSocket Zararları
WebSocket'in kullanımıyla ilişkilendirilebilecek bazı güvenlik açıkları şunlardır;
XSS (Cross-Site Scripting)
CSRF (Cross-Site Request Forgery)
Veri Doğrulaması ve Güvenliği
Bağlantı Sınırı ve DoS Saldırıları
Bu güvenlik açıklarını önlemek için, güçlü kimlik doğrulama ve oturum yönetimi, veri doğrulaması ve şifreleme, güvenli kodlama uygulamaları gibi önlemler alınmalıdır. Ayrıca, düzenli güvenlik denetimleri ve güncellemeler de önemlidir.
WebSocket Alternatifleri
HTTP Long Polling
Server-Sent Events (SSE)
WebRTC (Web Real-Time Communication)
Socket.IO
WebSocket Mesaj Manipülasyonu
Uygulama olarak PortSwigger WebSecurity Akademisinden "Manipulating WebSocket Messages" labını çözeceğim. Lab' a girmeden live chat uygulaması üzerinde WebSocket teknolojisini kullandığını söylüyor o yüzden. Direkt live chat sayfasına giriyorum.
Uygulama ile konuşma başlatıyorum ve burpsuite aracına giderek websocket isteğimi yakalıyorum.
İsteğimi yakaladıktan sonra repeater a gönderiyorum ve isteğimi orada manipüle ediyorum.
XSS Payloadımı kullanarak isteği tekrar oluşturuyorum ve sunucuya gönderiyorum. Gönderdikten sonra javascript kodum başarıyla çalıştı.
Konu bu kadardı umarım sizin için faydalı olmuştur. Detaylı anlatım için aşağıdaki videoyu izleyebilirsiniz. Sağlıkla kalın..
Server-Sent Events (SSE)
WebRTC (Web Real-Time Communication)
Socket.IO
WebSocket Mesaj Manipülasyonu
Uygulama olarak PortSwigger WebSecurity Akademisinden "Manipulating WebSocket Messages" labını çözeceğim. Lab' a girmeden live chat uygulaması üzerinde WebSocket teknolojisini kullandığını söylüyor o yüzden. Direkt live chat sayfasına giriyorum.
Uygulama ile konuşma başlatıyorum ve burpsuite aracına giderek websocket isteğimi yakalıyorum.
İsteğimi yakaladıktan sonra repeater a gönderiyorum ve isteğimi orada manipüle ediyorum.
XSS Payloadımı kullanarak isteği tekrar oluşturuyorum ve sunucuya gönderiyorum. Gönderdikten sonra javascript kodum başarıyla çalıştı.
Konu bu kadardı umarım sizin için faydalı olmuştur. Detaylı anlatım için aşağıdaki videoyu izleyebilirsiniz. Sağlıkla kalın..