- 28 Mar 2020
- 918
- 118
XSS KODLARI ve TOOL
Bu gün sizlere ( " xss " ) toolu ve kodlarını vereceğim konuyu uzun tutmamak için uğraşacağım ama uzun olabilir, şimdi de kusura bakmayın...
Siteler Arası Komut Dosyası Saldırı Türleri :
1 : YANSIYAN XSS
Bu, saldırı kodların girilmesinden sonra kötü amaçlı sonuçlar ortaya çıkar. Yansıtılan XSS kodu kalıcı olarak kaydedilmez.
2 : SAKLANAN XSS
Bu saldırı yansıyan XSS salsırısına göre daha riskli sayılabilir ve daha fazla hasar verebilir.
Bu tür saldırılarda, kötü amaçlı kod veya komut dosyası web sunucusuna (örneğin veritabanına) kaydedilir ve kullanıcıların uygun işlevleri aradığı her seferde çalıştırılır.
XSS-LOADER Nedir?
XSS-Loader yazılımı XSS payloadları oluşturabilen ve bu payloadları hedef veya dork ile random siteler üzerinde deneyebileyen bir yazılımdır.
1 : Bu araç xss injection için payload oluşturur
2 : Default payloadları kullanın veya payloadlarınızı yazın
3 : XSS Scaner ile xss injection yapar
4 : Xss Dork parametresi ile savunmasız xss injection yapılabilir siteleri bulur
Kurulum : Terminal üzerinden aşağıdaki komutları girmemiz yeterlidir...
Kullanımı : Terminalimize aşağıdaki komutu girerek çalıştırabiliriz...
2 : XSS HİLELERİ
Notu : XSS'nin (Siteler Arası Komut Dosyası) nasıl çalıştığını bilmiyorsanız, bu paylaşım muhtemelen size yardımcı olmayacaktır. Bu paylaşım, XSS'nin temellerini zaten anlayan ancak filtre kaçırmayla ilgili nüansları derinlemesine anlamak isteyen kişiler içindir. Bu paylaşım aynı zamanda bu riskleri nasıl azaltacağınızı veya saldırının gerçek tanımlama bilgisini / kimlik bilgilerini çalma kısmını nasıl yazacağınızı göstermeyecektir. Basitçe temeldeki saldırı vektörlerini gösterecek ve gerisini çıkarabileceksiniz. Şimdiye kadar bu konuda pek iyi kaynak bulamadığım için azaltma teknikleri veya düğme / form üzerine yazma gibi diğer XSS biçimlerini daha sonra ekleyebilirim.
XSS (Siteler Arası Komut Dosyası):
Normal XSS:
Tırnak yok ve noktalı virgül yok:
Tables :
XSSyi Önleme Yolları :
Bu tür bir saldırı en tehlikeli ve riskli olanlardan biri olarak kabul edilir. Bu saldırının popülaritesi nedeniyle, onu önlemenin birçok yolu var.
Yaygın olarak kullanılan ana önleme yöntemleri şunlardır:
1 : Veri doğrulama
2 : Filtreleme
Kullanıcı tarafından girilen her şey tam olarak doğrulanmalıdır, çünkü kullanıcının girişi çıktıya giden yolu bulabilir. Veri doğrulama, sistemin güvenliğini sağlamak için temel olarak adlandırılabilir.
Bu gün sizlere ( " xss " ) toolu ve kodlarını vereceğim konuyu uzun tutmamak için uğraşacağım ama uzun olabilir, şimdi de kusura bakmayın...
Siteler Arası Komut Dosyası Saldırı Türleri :
1 : YANSIYAN XSS
Bu, saldırı kodların girilmesinden sonra kötü amaçlı sonuçlar ortaya çıkar. Yansıtılan XSS kodu kalıcı olarak kaydedilmez.
2 : SAKLANAN XSS
Bu saldırı yansıyan XSS salsırısına göre daha riskli sayılabilir ve daha fazla hasar verebilir.
Bu tür saldırılarda, kötü amaçlı kod veya komut dosyası web sunucusuna (örneğin veritabanına) kaydedilir ve kullanıcıların uygun işlevleri aradığı her seferde çalıştırılır.
XSS-LOADER Nedir?
XSS-Loader yazılımı XSS payloadları oluşturabilen ve bu payloadları hedef veya dork ile random siteler üzerinde deneyebileyen bir yazılımdır.
1 : Bu araç xss injection için payload oluşturur
2 : Default payloadları kullanın veya payloadlarınızı yazın
3 : XSS Scaner ile xss injection yapar
4 : Xss Dork parametresi ile savunmasız xss injection yapılabilir siteleri bulur
Kurulum : Terminal üzerinden aşağıdaki komutları girmemiz yeterlidir...
Kod:
git clone https://github.com/capture0x/XSS-LOADER/
cd XSS-LOADER
pip3 install -r requirements.txt
Kullanımı : Terminalimize aşağıdaki komutu girerek çalıştırabiliriz...
Kod:
python3 payloader.py
2 : XSS HİLELERİ
Notu : XSS'nin (Siteler Arası Komut Dosyası) nasıl çalıştığını bilmiyorsanız, bu paylaşım muhtemelen size yardımcı olmayacaktır. Bu paylaşım, XSS'nin temellerini zaten anlayan ancak filtre kaçırmayla ilgili nüansları derinlemesine anlamak isteyen kişiler içindir. Bu paylaşım aynı zamanda bu riskleri nasıl azaltacağınızı veya saldırının gerçek tanımlama bilgisini / kimlik bilgilerini çalma kısmını nasıl yazacağınızı göstermeyecektir. Basitçe temeldeki saldırı vektörlerini gösterecek ve gerisini çıkarabileceksiniz. Şimdiye kadar bu konuda pek iyi kaynak bulamadığım için azaltma teknikleri veya düğme / form üzerine yazma gibi diğer XSS biçimlerini daha sonra ekleyebilirim.
XSS (Siteler Arası Komut Dosyası):
Normal XSS:
Kod:
<IMG SRC="javascript:alert('XSS');">
Tırnak yok ve noktalı virgül yok:
Kod:
<IMG SRC=javascript:alert('XSS')>
Tables :
Kod:
<TABLE BACKGROUND="javascript:alert('XSS')">
XSSyi Önleme Yolları :
Bu tür bir saldırı en tehlikeli ve riskli olanlardan biri olarak kabul edilir. Bu saldırının popülaritesi nedeniyle, onu önlemenin birçok yolu var.
Yaygın olarak kullanılan ana önleme yöntemleri şunlardır:
1 : Veri doğrulama
2 : Filtreleme
Kullanıcı tarafından girilen her şey tam olarak doğrulanmalıdır, çünkü kullanıcının girişi çıktıya giden yolu bulabilir. Veri doğrulama, sistemin güvenliğini sağlamak için temel olarak adlandırılabilir.