Xss'i Anlayalım

Açığın bulunması ile saldırgan, başka bi siteden, açığın bulunduğu domain ve sayfanın bilgilerini, session bilgilerini ve diğer obje değerlerini çalması, phishing, bypassing yapılmasına imkan sağlar.

Burada saldırgan kendi istediğini yaptıracak script kodunu karşı siteye ulaştırmak ve bunu başka kullanıcıların görmesini sağlamalıdır. Bu sebeple adı "Cross Site"dir.

Örnek olarak, sayfaların sizi hatırlamasını yada sizden bilgi almasını sağlayan cookie dosyaları bu yöntemle rahatlıkla çalınabilir. Siz her defasında cookiesine sahip olduğunuz bir siteyi ziyaret ettiğinizde, browser'ınız sizin login bilgilerinizi cookie dosyanızdan alarak karşı siteye iletir. Saldırgan sitede çalıştırdığı bir script kodu ile bu bilgileri kendine yollayabilir. Javascriptin document.cookie (çerez yönetimi) yöntemi ile kullanıcının cookieleri okunabilir yada saldırgan kendi cookie'si ile kurbanın cookiesini değiştirebilir.