Sızma Testleri XSS açığı nasıl kullanılır?
- Konbuyu başlatan MRRE
- Başlangıç tarihi
XSS açığının birkaç çeşidi var. Bu söz konusu açık orada ne işe yarıyor, mesela?
Uzman olduğum bir konu değil ama her zaman sabit kodları olmaya biliyor da. POC videolarında mesela zaman zaman tek tek deneyip custom olarak o an yazıyorlar.
Site sahibini kandırıp bilgisini çalabilirsin.
Örneğin; Elimizde XSS açıklı bir site var, bu sitede login sayfasının birebir aynısını yapacağız. Site sahibine panelin linkini vereceksin bir şekilde ama o linke XSS açığından faydalanarak kendi sayfana yönlendirme yapan bir kod ekleyeceksin. Bu kod sonucunda site sahibi linke girdiği an direk senin sitene yönlenecek ama farketmeyecektir çünkü sitenin aynı login sayfasını yaptın. Adam bilgileri girdiği zaman bilgileri kaydedip tekrar normal link ile adamın kendi sitesine yönlendireceksin bu sayede şifreyi falan yanlış girdiğini zanneder ve umursamaz. Daha sonra panel bilgileri elinde olmuş olacak.
NOT: Bilgi amaçlıdır, XSS açığına dikkat edelim!
Örneğin; Elimizde XSS açıklı bir site var, bu sitede login sayfasının birebir aynısını yapacağız. Site sahibine panelin linkini vereceksin bir şekilde ama o linke XSS açığından faydalanarak kendi sayfana yönlendirme yapan bir kod ekleyeceksin. Bu kod sonucunda site sahibi linke girdiği an direk senin sitene yönlenecek ama farketmeyecektir çünkü sitenin aynı login sayfasını yaptın. Adam bilgileri girdiği zaman bilgileri kaydedip tekrar normal link ile adamın kendi sitesine yönlendireceksin bu sayede şifreyi falan yanlış girdiğini zanneder ve umursamaz. Daha sonra panel bilgileri elinde olmuş olacak.
NOT: Bilgi amaçlıdır, XSS açığına dikkat edelim!
Merhaba, öncelikle xss açığının türüne bağlıdır.Bulduğun açık Reflected olarak geçiyor.
Medium Write-up için okuyabilirsin.
https://medium.com/@halilahmad/cross-site-scripting-reflected-1dc90662875e
Reflected'de site.com=/payload olarak bulmuşsundur.Xss'de reflected için ve IDOR'da bazı durumlarda sosyal mühendislik gerekmektedir.Yani bunu karşı taraftan etki beklemek gerekmektedir.
Çok fazla vaktim yok etiketi gördüğüm için girdim sorunuz olursa özel mesaj yoluyla iletişime geçebilirsiniz.
@fethimanisali Etiket için teşekkürler
Medium Write-up için okuyabilirsin.
https://medium.com/@halilahmad/cross-site-scripting-reflected-1dc90662875e
Reflected'de site.com=/payload olarak bulmuşsundur.Xss'de reflected için ve IDOR'da bazı durumlarda sosyal mühendislik gerekmektedir.Yani bunu karşı taraftan etki beklemek gerekmektedir.
Çok fazla vaktim yok etiketi gördüğüm için girdim sorunuz olursa özel mesaj yoluyla iletişime geçebilirsiniz.
@fethimanisali Etiket için teşekkürler
