XSS REFLECTED
Merhaba Arkadaşlar bundan önceki bölümde xss açığı ile url de java script kod çalıştırmayı göstermiştim. Fakat bu açığı tamamen sömürmemiz için hedef kullanıcıya linki tıklatmamız gerekiyordu yoksa çalıştıramıyorduk. XSS REFLECTED açığı sayesinde java script kodumuzu web sitenin veri tabanına veya herhangi bir yerine kaydetmiş oluyoruz bu sayede kurbana link tıklatmak gibi bir zahmete girmemiş oluyoruz. Java script kodumuz web sitenin veri tabanına enjekte olduğu için siteye kim girerse girsin browserinde java script kodumuz çalışmış olucak böylece siteye giren herkesi hacklemiş olacağız. Şimdi bu açık nasıl tesbit edilir ve nasıl sömürülür kısmına geçelim.
Bazı Web sitelerinde böyle forumlar olur mesaj göndermek için veya kaydetmek için yukarıdaki resimdede bir forum verilmiş ve ismimizi girdikten sonra mesaj kısmına istediğimiz bir mesajı yazmamızı istiyor. Bir forum gördüğümüzde ne yapıyoduk? O forumu bozmaya çalışıyoruk. şimdi mesaj kısmında javascript kod çalıştırmayı deneyicez.
Ben diğerki bölümde yazdığım java script kod ile devam ediyorum siz istediğiniz bir java script kod yazabilirsiniz. Şimdi isim kısmına ahmet yazdım ve mesaj kısmınada javascript kodumu yazdım eğer bir açık var ise kodum burada çalışıcak ve ekran I hack You diye bir uyarı vericek bu forum sayesindede kodum veri tabanına veya herhangi bir yere kayıt olucak ve web siteye giren herkezin karşısına bu kod çıkıcak. Şimdi çalıştıralım bakalım.
Gördüğünüz gibi yazdığım kodu bana uyarı şeklinde dönderdi şimdi ben web sitesine her kim girerse girsin java script kodum onun browserinde çalışıcak ve ekranına bu dönütü vericek.
Umarım Faydalı bir konu olmuştur daha detaylı anlamanız için video da çektim. İyi Forumlar
Video Linki :
XSS 1. BÖLÜM LİNKİ : XSS AÇIĞI ( 1 )