Html - CSS - XML - JavaScript - Ajax
WYSIWYG Kullanımında İnjection'lardan Korunma
WYSIWYG Kullanımında İnjection'lardan Korunma
-
XSS sistem sahibine ne gibi bir sorunu var ne gibi bir zarar veriyor. normalde cookie çalmak için kullanılmıyormu üstadlar. yanlışım varsa düzeltirmisiniz.
-
furkiak bunu yazdı
XSS sistem sahibine ne gibi bir sorunu var ne gibi bir zarar veriyor. normalde cookie çalmak için kullanılmıyormu üstadlar. yanlışım varsa düzeltirmisiniz.
hocam style ile oynayıp index bile atar yanlış bilmiyorsam :D
-
post ve get metodlarını kullanabilir.
javascriptle yapabileceklerinin sınırı kadar?
-
furkiak bunu yazdı
XSS sistem sahibine ne gibi bir sorunu var ne gibi bir zarar veriyor. normalde cookie çalmak için kullanılmıyormu üstadlar. yanlışım varsa düzeltirmisiniz.
Yönetici cookiesini çalarsa direkt sisteme yönetici olarak giriş yapmış olur. XSS sıkıntılı bir açık türü.
-
Hocam gelen veriyi temizlemeden db ye yazıp, göstereceğin zaman temizlemekte bir seçenek olarak aklında bulunsun. Burada amaç kim ne göndermeye çalışmış, zarar vermeye çalışan var mı bunları görebilmek. Tabi bunun için ayrı loglama da yapılabilir.
XSS konusunda genel olarak tavsiye edilen yöntem, belirli etiketleri engellemek yerine, yalnızca güvendiğin etiketlere izin vermen. .NET tarafında bununla ilgili kütüphane var onu kullanıyoruz mesela.
-
furkiak bunu yazdı
XSS sistem sahibine ne gibi bir sorunu var ne gibi bir zarar veriyor. normalde cookie çalmak için kullanılmıyormu üstadlar. yanlışım varsa düzeltirmisiniz.
Cookie calar evet. Yonetici cookiesini calar sisteme yonetici olur. Sayfaya girer girmez bir bitcoin mining JS calistirir sonra sitenin antivirus firmalarina sikayetini yapip siteyi blacklist/blocklist'e aldirir. sayfada ki butun objelerin style'ini siyah yaparak sayfa icinda ki büyün herseyi kapatir. sadece kendi yazdiği bir hack keke vs yazisini farkli renkte yapar. opacity ile oynar. sayfayi yönlendirir. sayfa icinde frame acip porno yayin yapar. kullanıcının permission ayarlarına göre sayfaya girenlerin kamerasını açar kaydeder yani teknik olarak Javascript, CSS ve HTML'de ki her seye hükmeder.
PCI-DSS denetimlerinde XSS ve Sql injection Critecal olarak gecer. bilinen bir acik var ise asla sertifika alamazsın yazılımına.