Xss Açıkları Sona Mı Eriyor?

Tahribat.com Forumları
line

Bilişim Güvenliği
line

16/Ağu/06 02:14 Kısayol Şikayet Özel Mesaj

Fistandantilus

Kayıt Tarihi: 28/Eylül/2004

Efet çıkalı uzun süre olmasının ardından, XSS saldırıları sona eriyor sanırım. PHP 5.2 ile beraber gelen bir özellik sayesinde bir cookie oluşturulması sırasında "HttpOnly" parametresi ile erişimler kısıtlanabiliyor. Javascript kodları yerine sadece http sayfalarının açılması sırasında erişim yapılması sağlanarak bu açığın kapatılacağı söyleniyor..

HttpOnly parametresi ise bu XSS saldırılarına karşı bir çözüm olarak karşımıza çıkıyor. Bu çözüm Microsoft tarafından Internet Explorer 6.0 SP1'den itibaren kullanıma sokulmuş durumda. Tabii doğal olarak bu parametrenin sunucu tarafından da kullanılıyor olması gerekli. PHP 5.2'den itibaren kullanılan sistem ise şu şekilde:

Normal bir cookie yaratılması sırasında gönderilen veriKod:
Set-Cookie: USER=username; expires=Wednesday, 09-Nov-99 23:12:40 GMT;

Getirilen çözüm ile de Kod:
Set-Cookie: USER=username; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly

şeklinde olmakta.. buradaki HttpOnly parametresi sayesinde oluşturulan bu cookie javascript kodları için görünmez olacak.

Sunucu dışında browser'ların da bu kodu desteklemeleri güvenlik açısından önem taşımaktadır.. işte destekleyen tarayıcılar:

* IE 6.0 SP1 ve sonrası - cookie'nin okunmasını önlüyor ancak üzerine yazılmasına engel olamıyor.
* IE 7.0 - cookie'nin okunmasını ve yazılmasını önlüyor - en güvenlisi
* Safari 1.3 and sonrası - cookie'nin okunmasını önlüyor
* Opera 8 and sonrası - cookie'nin okunmasını önlüyor
* Mozilla - desteklenmiyor
* Firefox - desteklenmiyor

Kaynaklar:
http://www.fazlamesai.net
http://www.rooftopsolutions.nl/article/97

Fakat söyleyin kardeşlerim; insanlığın bir ereği eksikse, eksik değil midir- bizzat kendisi de?

Alıntı yap
16/Ağu/06 09:06 Kısayol Şikayet Özel Mesaj

BadMad

Kayıt Tarihi: 17/Temmuz/2005

İstedikleri Kadar Kapatsınlar Linux Servera Nasıl FSO Sokuyorsak
Xss Script Koyarız

To Be Or Not To Be

Alıntı yap
16/Ağu/06 09:41 Kısayol Şikayet Özel Mesaj

kurdo

Kayıt Tarihi: 18/Temmuz/2005

geldikmi yaraqlara :S

kendinize ayığ olunuz

Alıntı yap
16/Ağu/06 10:54 Kısayol Şikayet Özel Mesaj

Yigit

Kayıt Tarihi: 17/Temmuz/2005

ya amk tam zamanını buldu yeni girmişim bu işe :S
kim yaptıysa top olsun :)

Alıntı yap
16/Ağu/06 11:06 Kısayol Şikayet Özel Mesaj

arahman

Kayıt Tarihi: 29/Temmuz/2005

vay a.q :(

Agrasif miyim neyim?

Alıntı yap
16/Ağu/06 11:44 Kısayol Şikayet Özel Mesaj

ReD__DRaGoN

Kayıt Tarihi: 01/Ağustos/2006

onun da biryolunu bulur hacker milleti siz kafanızı yormayın.yıllardır bu böyle.microsoft yama cıkarıya hackerler o yama nın a.g

Alıntı yap
16/Ağu/06 12:19 Kısayol Şikayet Özel Mesaj

holigan

Kayıt Tarihi: 01/Eylül/2005

way aq smdi ne sikimi yicez?

Alıntı yap
16/Ağu/06 12:19 Kısayol Şikayet Özel Mesaj

a4tech

Kayıt Tarihi: 21/Temmuz/2005

Tarayıcı taraflı çözümler üretiliyor demekki :) Yine bazı açıklar bulunabilir. %100 güvenlik diye bir şey yoktur. Ama güzel çözüm üretmişler :)

Alıntı yap
16/Ağu/06 13:26 Kısayol Şikayet Özel Mesaj

Musket

Kayıt Tarihi: 09/Haziran/2002

Geleceği gorur gibiyim... HTTP Only parametresi olmayanlara otomatik cookie calıp ındex basan DAVS benzeri bı program yazılıcak...

Sonra da iskorpiçx gibi "hacker" lar bunları kullanıp zone-h da birinci olucak...

Alıntı yap
16/Ağu/06 13:36 Kısayol Şikayet Özel Mesaj

ParK

Kayıt Tarihi: 16/Ağustos/2006

php ile basit bir arama ve bulup yerdeğiştirme ile engelleniyor artık ama genede başka bir yöntem çıkar eminim ..

think what u have,then think what can u do with "em and choose the easiest way for you ,do something..u will grab the success! ParK

Alıntı yap
16/Ağu/06 13:43 Kısayol Şikayet Özel Mesaj

GolgeleR

Kayıt Tarihi: 01/Ekim/2005

millet o kadar topic acıp xss xss diye anırırsa tabi kapanır suc sizde aq zükiim böle işi ya o kadar dendi belli etmeyin acıkları kimseye dağıtmayın dendi off of..!

BAN

Alıntı yap

Toplam Hit: 13462 Toplam Mesaj: 16

Cevapla