Xss açığı ile ilgili sorum var.

FLOWer_

FLOWer_

Yeni üye
19 Eyl 2023
4
0
Herhangi bir sitedeki xss açığına düştüğümüz zaman engellemek için ne yapılabilir tarayıcının kapatılması yeterli midir? Konuya hakim değilim mantıksız soru ise özür dilerim.
 
Tarihe göre sırala Oylara göre sırala
SpyKod

SpyKod

Katılımcı Üye
8 Şub 2006
351
70
Tarsus
Content Security Policy Güvenlik Politikalarını gözden geçirip kullandığın Theme,script vs güncel olduğundan emin olmalısınız. tarayıcı kapatmanız bir şey değiştirmez. tarayıcı yorumlayıcı zaten.
 
Oyla 0 Downvote
N S

N S

Uzman üye
19 Haz 2013
1,145
212
FLOWer_' Alıntı:
Herhangi bir sitedeki xss açığına düştüğümüz zaman engellemek için ne yapılabilir tarayıcının kapatılması yeterli midir? Konuya hakim değilim mantıksız soru ise özür dilerim.
Genişletmek için tıkla ...
Kardeşim ziyaret ettiğin sitede ki xss zafiyetinin tipi önemli ama genel olarak eğer bir phshinge kurban gitmediysen veya cookini çaldırmadıysan tarayıcını kapatman değil siteden çıkman bile yeterli ama eğer cookieni çaldırdıysan ki bu konuda yapabileceğin bir şey yok o sitede ki tüm oturumlarını sonlandır ve şifreni, değiştir varsa 2 factor auth kullan.

Örnek veriyorum bir dönem pentest yaparken tesadüf eseri çok büyük bir b2b firmanın sitesinde zsse denk gelmiştim site üzerine istediğim contenti yedirebiliyordum urlden. urle'e dikkat et sayfa içeriğine dikkat et devloper console ile kaynak kodlarını aç javascript kodlarına bir bak neler dönüyor diye. hiç biriyle uğraşmayayım kafam rahat olsun diyorsan javascipti disable et çoğu xss saldırısından kurtulmuş olursun tabi persistent xss ile html basıp form post ederse senin datanı yine phishinge kurban gidebilirsin.
 
Oyla 0 Downvote
FLOWer_

FLOWer_

Yeni üye
19 Eyl 2023
4
0
N S' Alıntı:
Kardeşim ziyaret ettiğin sitede ki xss zafiyetinin tipi önemli ama genel olarak eğer bir phshinge kurban gitmediysen veya cookini çaldırmadıysan tarayıcını kapatman değil siteden çıkman bile yeterli ama eğer cookieni çaldırdıysan ki bu konuda yapabileceğin bir şey yok o sitede ki tüm oturumlarını sonlandır ve şifreni, değiştir varsa 2 factor auth kullan.

Örnek veriyorum bir dönem pentest yaparken tesadüf eseri çok büyük bir b2b firmanın sitesinde zsse denk gelmiştim site üzerine istediğim contenti yedirebiliyordum urlden. urle'e dikkat et sayfa içeriğine dikkat et devloper console ile kaynak kodlarını aç javascript kodlarına bir bak neler dönüyor diye. hiç biriyle uğraşmayayım kafam rahat olsun diyorsan javascipti disable et çoğu xss saldırısından kurtulmuş olursun tabi persistent xss ile html basıp form post ederse senin datanı yine phishinge kurban gidebilirsin.
Genişletmek için tıkla ...
Hocam dün sql açıklı sitelerde dolaşırken chrome bildirimi geldi xss test gibi bir şey. Sonrada google'a arama yapıyor hackleyenin ismini olay yaşandıktan sonra çerezleri verileri vs sildim ancak olan oldu bir kere ondan kafam karıştı.
 
Oyla 0 Downvote
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.