Xss Açıkları Sona Mı Eriyor?
-
Efet çıkalı uzun süre olmasının ardından, XSS saldırıları sona eriyor sanırım. PHP 5.2 ile beraber gelen bir özellik sayesinde bir cookie oluşturulması sırasında "HttpOnly" parametresi ile erişimler kısıtlanabiliyor. Javascript kodları yerine sadece http sayfalarının açılması sırasında erişim yapılması sağlanarak bu açığın kapatılacağı söyleniyor..
HttpOnly parametresi ise bu XSS saldırılarına karşı bir çözüm olarak karşımıza çıkıyor. Bu çözüm Microsoft tarafından Internet Explorer 6.0 SP1'den itibaren kullanıma sokulmuş durumda. Tabii doğal olarak bu parametrenin sunucu tarafından da kullanılıyor olması gerekli. PHP 5.2'den itibaren kullanılan sistem ise şu şekilde:
Normal bir cookie yaratılması sırasında gönderilen veriKod:
Set-Cookie: USER=username; expires=Wednesday, 09-Nov-99 23:12:40 GMT;
Getirilen çözüm ile de Kod:
Set-Cookie: USER=username; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly
şeklinde olmakta.. buradaki HttpOnly parametresi sayesinde oluşturulan bu cookie javascript kodları için görünmez olacak.
Sunucu dışında browser'ların da bu kodu desteklemeleri güvenlik açısından önem taşımaktadır.. işte destekleyen tarayıcılar:
* IE 6.0 SP1 ve sonrası - cookie'nin okunmasını önlüyor ancak üzerine yazılmasına engel olamıyor.
* IE 7.0 - cookie'nin okunmasını ve yazılmasını önlüyor - en güvenlisi
* Safari 1.3 and sonrası - cookie'nin okunmasını önlüyor
* Opera 8 and sonrası - cookie'nin okunmasını önlüyor
* Mozilla - desteklenmiyor
* Firefox - desteklenmiyor
Kaynaklar:
http://www.fazlamesai.net
http://www.rooftopsolutions.nl/article/97
-
İstedikleri Kadar Kapatsınlar Linux Servera Nasıl FSO Sokuyorsak
Xss Script Koyarız -
geldikmi yaraqlara :S
-
ya amk tam zamanını buldu yeni girmişim bu işe :S
kim yaptıysa top olsun :) -
vay a.q :(
-
onun da biryolunu bulur hacker milleti siz kafanızı yormayın.yıllardır bu böyle.microsoft yama cıkarıya hackerler o yama nın a.g
-
way aq smdi ne sikimi yicez?
-
Tarayıcı taraflı çözümler üretiliyor demekki :) Yine bazı açıklar bulunabilir. %100 güvenlik diye bir şey yoktur. Ama güzel çözüm üretmişler :)
-
Geleceği gorur gibiyim... HTTP Only parametresi olmayanlara otomatik cookie calıp ındex basan DAVS benzeri bı program yazılıcak...
Sonra da iskorpiçx gibi "hacker" lar bunları kullanıp zone-h da birinci olucak... -
php ile basit bir arama ve bulup yerdeğiştirme ile engelleniyor artık ama genede başka bir yöntem çıkar eminim ..
-
millet o kadar topic acıp xss xss diye anırırsa tabi kapanır suc sizde aq zükiim böle işi ya o kadar dendi belli etmeyin acıkları kimseye dağıtmayın dendi off of..!
Toplam Hit: 13462 Toplam Mesaj: 16