- 6 May 2013
- 973
- 0
| < --------------------------------------------------------------------------------->|
XSS [Cross Site Scripting (XSS) Açığı] | istifadəsi |
| < --------------------------------------------------------------------------------- >|
Bu gün sizlərə XSS acığını öyrədəcəm və bu zəifliyi necə istifadə etməyi göstərəcəm, sadə olaraq məntiqi və işləyişi ələ alacağıq ümid edirəm faydalı və xüsusi bir məqalə olar
Unutmayaq ki, Xss ilə sniffer etmədiyimiz müddətcə hack olmaz.
1) XSS NƏDİR?
2) XSS açığı necə meydana gələr?
3) XSS açığı NECƏ tapılar?
4) XSS açığını tapmaq
Məsələn
XSS [Cross Site Scripting (XSS) Açığı] | istifadəsi |
| < --------------------------------------------------------------------------------- >|
Bu gün sizlərə XSS acığını öyrədəcəm və bu zəifliyi necə istifadə etməyi göstərəcəm, sadə olaraq məntiqi və işləyişi ələ alacağıq ümid edirəm faydalı və xüsusi bir məqalə olar
Unutmayaq ki, Xss ilə sniffer etmədiyimiz müddətcə hack olmaz.
Xss mənə görə hack deyil çox asanda qaçılan bir əməliyyatdır başlanğıc olaraq məntiqi anlamağınız üçün sadə olaraq başlayıram, lakin yeni başlıyan istiffadəçilər üçün faydalı olacaqdır,
1) XSS NƏDİR?
2) XSS açığı necə meydana gələr?
3) XSS açığı NECƏ tapılar?
4) XSS açığını tapmaq
1) XSS NƏDİR? (1)
XSS Cross Site Scripting olaraq bilinən veb tətbiqlərində mövcud olan çoxməşhur bir açıqdır.XSS hücum edən adamın zərərli kodlarını inject ediləsinə yarayır.Sql açıqı kimi deyil.
3- XSS nədir [3]
XSS Saytların Axtarışın Şərhlərin və s. Text qutularında olan bir açıqdır.
Html kod yazım xüsusiyyətiniz (açıq) olaraq unudulmasından meydana gəlir
XSS çox təhlükəli olmayan bir açıqdır. İndiki vaxtda çox rast gəlinir amma çox az istifadə edilir.
XSS açıqları bir dəyişənin dəyərinin var olub olmadığını nəzarət etmədən deyişkənin yansıtdlmasından meydana gəlir.
XSS Cross Site Scripting olaraq bilinən veb tətbiqlərində mövcud olan çoxməşhur bir açıqdır.XSS hücum edən adamın zərərli kodlarını inject ediləsinə yarayır.Sql açıqı kimi deyil.
1-Cross Site Scripting Nədir? (2)
Söz mənası "Kod işlətmək" dir. Təhlükəli bir açıq olduğu kimi çox sadə bir zaafiyəttir. Çox böyük sistemlərdə belə rast gəlinə bir açıqdır.
Söz mənası "Kod işlətmək" dir. Təhlükəli bir açıq olduğu kimi çox sadə bir zaafiyəttir. Çox böyük sistemlərdə belə rast gəlinə bir açıqdır.
3- XSS nədir [3]
XSS Saytların Axtarışın Şərhlərin və s. Text qutularında olan bir açıqdır.
Html kod yazım xüsusiyyətiniz (açıq) olaraq unudulmasından meydana gəlir
XSS çox təhlükəli olmayan bir açıqdır. İndiki vaxtda çox rast gəlinir amma çox az istifadə edilir.
| < --------------------------------------------------------------------------------->|
| ---------------------- XSS açığı necə yaranır ? ----------------------|
| < --------------------------------------------------------------------------------->|
| ---------------------- XSS açığı necə yaranır ? ----------------------|
| < --------------------------------------------------------------------------------->|
XSS açıqları bir dəyişənin dəyərinin var olub olmadığını nəzarət etmədən deyişkənin yansıtdlmasından meydana gəlir.
Məsələn
Kod:
<?php
$tht = $_GET[leo1];
echo $leo
?>
Yuxarıdakı kodlarda leo dəyişəni echo ilə yansıdılmış.Ancaq GET metoduyla leo1 dəyərinin idarəsi edilməyib. Bu səhv echo $ leo sətirində XSS açığını meydana gətirməkdədir.
| < --------------------------------------------------------------------------------->|
| ---------------------- 3 ) XSS AÇIĞI NECƏ TAPILIR ? ----------------------|
| < --------------------------------------------------------------------------------->|
Dork:
A) Axtarış qutularında
XSS açığı bir çox yerdə tapılır..Əgər bir XSS Açığı axtarırsınızsa sizlərə bir neçə dork verib onun üzərində sınaqlar edə bilərsiniz.
Dork
| < --------------------------------------------------------------------------------->|
| ---------------------- 4- XSS Açıgı necə Tapabilərik ? ---------------------------|
| < --------------------------------------------------------------------------------- >|
| < --------------------------------------------------------------------------------->|
| ---------------------- 3 ) XSS AÇIĞI NECƏ TAPILIR ? ----------------------|
| < --------------------------------------------------------------------------------->|
Dork:
Kod:
< inurl:"search.php?q=" Google dorklarını kullanarak.<
A) Axtarış qutularında
XSS açığı bir çox yerdə tapılır..Əgər bir XSS Açığı axtarırsınızsa sizlərə bir neçə dork verib onun üzərində sınaqlar edə bilərsiniz.
Dork
Kod:
inurl:search.php?id=
inurl:index.php?id=
inurl:kayit.php?id=
| < --------------------------------------------------------------------------------->|
| ---------------------- 4- XSS Açıgı necə Tapabilərik ? ---------------------------|
| < --------------------------------------------------------------------------------- >|
XSS acığını tapmaq üçün text qutusuna bir Html kodu yazmalıyıq biz buna alert (Təhlükə) koduda deyə bilərik.Məsələn Alert Kodu "<script> alert. (*Ulduz) </ script>" Enterlədikdə axtarış ekranımız açılırvə pəncərədə "ulduz" yazısı görünəcək. <Beləliklə Saytımızda XSS açığı olduğunu tapmış olduq.
İndi XSS acığını linkimizə baxarakqa başa düşəbilərsiz. XSS açıqları ümumiyyətlə GET methodlarında olur GET methodu id = 12 kimi ədədlərdən ibarət linklərdir.SQL açıqlarıda bu linklərdə tapılır sqlmap bəzən url axtararkən "xss vuln detected" tərzində yazıya diqqət etsəniz xssləri oradanda kəşf edə bilərsiniz.
Məsələn
saytımızın sonundakı sayı dəyərini silək "id =" qisimindən sonrasına "<script> alert. (ulduz) </ script>" alert kodumuzu yazaq yenə Xətamızı verəcək
| < --------------------------------------------------------------------------------->|
| ---------------------------------| Video | -------------------------------------|
| < --------------------------------------------------------------------------------- >|
Məsələn
Kod:
sayt.com/search.php?id=<script>alert.(yildiz)</script>
saytımızın sonundakı sayı dəyərini silək "id =" qisimindən sonrasına "<script> alert. (ulduz) </ script>" alert kodumuzu yazaq yenə Xətamızı verəcək
| < --------------------------------------------------------------------------------->|
| ---------------------------------| Video | -------------------------------------|
| < --------------------------------------------------------------------------------- >|
[ame="https://www.youtube.com/watch?v=orLATAHhdRc"]https://www.youtube.com/watch?v=orLATAHhdRc[/ame]
NOT: Leopic arkadaşımızın konusunu Azericeye çevrilmiştir
Türkcesi: | 'XSS Açıgı | Site Hacklemiyen Kalmıyacak! | Video'lu ' Kapsamlı Anlatım]
Son düzenleme: