// | 'XSS Açıgı | Site Hacklemiyen Kalmıyacak! | Video'lu ' Kapsamlı Anlatım] | .' // |

FrontSoldiers' Alıntı:

Usta güzel olmuş eline sağlıkta sniffer ı nasıl yapacagız kısa bi özet gecebilir misin

Genişletmek için tıkla ...

bu konuda oldugu gibi sniffer'ida videolu bir biçimde anlatıcagım dostum , kısa süre sonra.

Teşekkürler

Eline Sağlık Güzel Konu

Ellerine Emeğine Sağlık Kardeşim Videolu Makaleli Güzel Bir Anlatım Olmuş

Eline sağlık özgün anlatımları her zaman severim ancak çok uzun zamandır çözemediğim bir konu var neden xss açıkları için dorklarla uğraşırız?
Bir xss açıklı sayfa düşürdük diyelim dorklardan hemen ardından xss için kullanılan bir framework/sniffer kullanmak gerekecek ondan sonra bu linki bir admine/editöre yedirmek gerekecek tabi bunun öncesinde ona nasıl ulaşabileceğimizi bulmamız gerekecek bu kadar zahmet ne gerek var zaten hemen hemen çoğu websitesinde xss mevcut doruk kullanmanın bir mantığı olduğunu sanmıyorum

Balamir97' Alıntı:

Eline sağlık özgün anlatımları her zaman severim ancak çok uzun zamandır çözemediğim bir konu var neden xss açıkları için dorklarla uğraşırız?
Bir xss açıklı sayfa düşürdük diyelim dorklardan hemen ardından xss için kullanılan bir framework/sniffer kullanmak gerekecek ondan sonra bu linki bir admine/editöre yedirmek gerekecek tabi bunun öncesinde ona nasıl ulaşabileceğimizi bulmamız gerekecek bu kadar zahmet ne gerek var zaten hemen hemen çoğu websitesinde xss mevcut doruk kullanmanın bir mantığı olduğunu sanmıyorum

Genişletmek için tıkla ...

Öncelikle, bizim bildiklerimizi herkes bilemezki , dork sayesinde kolay bir şekilde bulabiliriz hem seri olur hemde zaman kaybı olmaz , manuel zaman kaybı yapar xss için xss'de dork konusunda bunu söyliyebilirim, her sitede rastlanabilir fakat her üye manuel bulucak diye birşey yok ki zaten konu'da belirttim kardeşim [Bu başlangıç seviyesinde , mantıgı kavramaları için ilk seviyeden başladım] xss'yi yeni gören bir adam sormaz mı dork'u vermeseydim nasıl bulucagız site diye, bunları düşünerek açtım konuyu dostum zaten bu bir hack degildir belirtmiştim ama geliştirerek kodları site üzerinde büyük bir zaafiyet olarak kullanılabilir ki, bunu ileri zamanlarımdaki xss 2. konuda görürsün dostum , Teşekür ederim bu arada görüşlerin için

Eline saglik dostum

Eline sağlık.

ellerine sağlık, kaliteli:RpS_thumbup:

Web&Server güvenliğinde en küçük ayrıntısına kadar varken neden tekrar farklı bir konu açılıyor bu forumda ?

Mustafa Akkaya' Alıntı:

Web&Server güvenliğinde en küçük ayrıntısına kadar varken neden tekrar farklı bir konu açılıyor bu forumda ?

Genişletmek için tıkla ...

Hepsi özen gösterilerek anlatılmamış , ve sana şunu söyliyeyim dostum Web&server Güvenliginde SQL üzerine x1000 küsür anlatım var ozaman hepsine neden farklı konu açtın diyelim , yorumun,görüşün için teşekür ederim

Leopic' Alıntı:

| < --------------------------------------------------------------------------------->|
Konu: XSS [Cross Site Scripting (Xss) Zafiyeti] | Kullanımı |
| < --------------------------------------------------------------------------------- >|


Konuda alıntı yoktur video çekimi'de bana aittir 12 dakikadir , sadece bazı kısımlar kaynaklardan alınmıştır.


Merhaba Arkadaşlar,Bugün sizlere XSS açıgını anlatıcagım ve bu zaafiyeti nasıl kullanabilcegimizi göstericegim,basit olarak mantığı ve işleyişi ele alacağız umarım yararlı ve özgün bir makale,video olur.


Video'da daha sağlıklı anlatım yaptım ve , xss açıgı kullanarak hedef siteye zaafiyet kodumuz denedim.



Unutmuyalım ki, Xss ile sniffer yapmadigimız surece hack olmaz.


Xss bana göre hack degildir şu şekilde söylemek gerekirse bu videoda yapıcagım işlem bana göre hack degildir çok basit'e kaçınılan bir işlemdir başlangıç olarak mantıgı anlamanız için basit olarak başlıyorum , fakat yeni başlıyan arkadaşlarımızın bilmesi fayda sağlar ,


1 ) XSS NEDİR ?
2 ) XSS AÇIĞI NASIL OLUŞUR ?
3 ) XSS AÇIĞI NASIL BULUNUR ?
4 ) XSS Açıgı Tespit Etmek

turkhackteam.net / leopic /

| < --------------------------------------------------------------------------------->|
| ------------------------------- 1 XSS nedir? -----------------------------------|
| < --------------------------------------------------------------------------------- >|




1 ) XSS NEDİR ? [1]


XSS Cross Site Scripting olarak bilinen web uygulamalarında mevcut olan çok
yaygın bir açıktır.XSS atak yapan kişinin zararlı kodlarını inject etmesine
dayananır.Kullanıcıya yönelik saldırı yapabiliriz.Sql açığı gibi servera degil.




1-Cross Site Scripting Nedir? [2]

Kelime manası “Çapraz Kod Çalıştırmak” dır.Tehlikeli bir açık olduğu gibi çok basit bir zaafiyettir.Çok büyük sistemlerde bile rastlanabilen bir tür’dür.





3- XSS nedir [3]

XSS Sitelerin Arama Yorum vb. Text kutularinda bulunan bir açıktır.
Html kod yazım özelliginin açık unutulmasından meydana gelir.
XSS çok tehlikeli olmayan bir açıktır. Günümüzde çok rastlanır ama pek az kullanılır.





| < --------------------------------------------------------------------------------->|
| ---------------------- 2 ) XSS AÇIĞI NASIL OLUŞUR ? ----------------------|
| < --------------------------------------------------------------------------------- >|


turkhackteam.net / leopic /





XSS açıkları bir değişkenin değerinin var olup olmadığını kontrol etmeden
değişkenin yansıtılmasından meydana gelir.

Örneğin:

Kod:

<?php
$tht = $_GET[’leo1];
echo $leo
?>

Yukarıdaki kodlarda leo değişkeni echo ile yansıtılmış.Ancak GET metoduyla
leo1 değeri nin kontrolu yapılmamış.Bu hata echo $leo satırında XSS açığı
meydana getirmektedir.




| < --------------------------------------------------------------------------------->|
| ---------------------- 3 ) XSS AÇIĞI NASIL BULUNUR ? ----------------------|
| < --------------------------------------------------------------------------------- >|

turkhackteam.net / leopic /




< inurl:"search.php?q=" Google dorklarını kullanarak.<




< a-) Search Kutularında
XSS açığı bir çok yerde bulunabilir..Eğer bir XSS Açığı arıyorsanız sizlere birkaç dork verip onun üzerinde denemeler yapabilirsiniz.Dork;<

Kod:

inurl:”search.php?id=”
inurl:”index.php?id=”
inurl:”kayit.php?id=”

Bu Dorklar Çogaltılabilir , SQL dorklarını'da girebilirsiniz.






| < --------------------------------------------------------------------------------->|
| ---------------------- 4- XSS Açıgı Tespit Etmek? ---------------------------|
| < --------------------------------------------------------------------------------- >|



turkhackteam.net / leopic /




<]XSS Açıgını tespit etmek için text kutucuguna bir Html kodu yazmalıyız biz buna alert koduda diyebiliriz.Örnek olarak Alert Kodu "<script>alert.(yildiz)</script>" Enterladıgımızda tarayıcı ekranımıza açılır pencerede "yildiz" yazısı görünecektir.<
Böylelikle Sitemizde XSS açıgı oldugunu tespit etmiş olduk.





< Simdi XSS Açıgını linkimize bakarakta anlayabiliriz.XSS açıkları genelde GET methodlarında olur GET methodu id=12 gibi sayilardan olusan linklerdir.SQL açiklarida bu linklerde bulunur sqlmap bazen url tararken "xss vuln detected" tarzinda yazabilir dikkat ederseniz xssleri oradanda kesfedebilirsiniz.
Örnek olarak<

Kod:

örneksite:com/search.php?id=<script>alert.(yildiz)</script>

< sitemizin sonundaki sayı deverini silelim "id=" kısmından sonrasına "<script>alert.(yildiz)</script>" alert kodumuzu yazalım yine hatamızı verecektir. <





| < --------------------------------------------------------------------------------->|
| -----------------A---------------| Video | -------------------------------------|
| < --------------------------------------------------------------------------------- >|



https://www.youtube.com/watch?v=orLATAHhdRc&feature=youtu.be



Video çekimi bana aittir 12 dakikadır , kapsamlı olarak herşey anlatılıyor +



turkhackteam.net / leopic /

--------------------------------------------------------------



Video'da Kullanılan Programlar:




Lazım olan Materyaller:




1-] WebCruiserPro
2-] Gr3eNoX Scanner V1.1
3-] Tarayıcı




Bunların indirme linklerinide vereyim [Tarayıcıdan kastım google chrome,opera vs. vs.]




turkhackteam.net / leopic /

| < --------------------------------------------------------------------------------->|
| --------------------Lazım olan Materyaller İndirme Linkleri --------------|
| < --------------------------------------------------------------------------------- >|





| WebCruiserPro | İndir | [Yandex Disk] |



WebCruiserPro | VirüsTotal |




| < --------------------------------------------------------------------------------- >|





| Gr3eNoX Exploit Scanner V1.1 |İndir [Yandex Disk] |

| Gr3eNoX Exploit Scanner V1.1 | VirüsTotal |






| Sitenin İd degerinin sonuna girdigim Kod'u İndir [Dosya Tc .txt]






Hepsinin Rar Şifresi: leopictht





Sitenin İd degerinin sonuna girdigim Kod'u kendinize göre editliyebilirsiniz.



--------------------------------------------------------------



Sorun yaşıyanlar , konu altında veya özel mesaj olarak sorabilirler.

Turkhackteam.Net - Leopic // Umarım Faydalı Olmuştur. // Saygılar & Sevgiler // ​

Genişletmek için tıkla ...

php bilgin gözümü kanattı.

'Insider' Alıntı:

php bilgin gözümü kanattı.

Genişletmek için tıkla ...

Bunun pek bi onemi yok, mantigi anlamak için yazdim ihbar et butonunu kullanabilirsiniz.

İnstagram Hackleyebilrimiyiz bunla?

Emeğine sağlık

Güzel konu, emeğine sağlık.

Eline koluna sağlık usta

Eline,emeğine sağlık kapsamlı anlatım olmuş

ellerıne saglık