

XSS Cross Site Scripting Nedir, Ne Değildir? Kullanımı Ve Korunma Yolları
-
THE_MILLER bunu yazdı:
-----------------------------
Hadi biraz beyin jimnastiği yapalım.
Her sitede Xss var mıdır ( Xss olma ihtimali olan sitelerden bahsetmekteyim ) ?
Hotmailde halen xss varmı ? Varsa neden kullanıla mıyor ? Kullanılabilir hale getirilebilir mi ?
-----------------------------En son facebook worm'u olayını göz önüne alırsak muhtemelen her sitede diyemesek de çoğu sitede vardır denilebilir.
Hotmail'de sürekli xss çıkarılıyordu ama geçen sene şu anda durumu hiç takip edemedim ama olsa da klasik eski yöntemle direk kullanıcının adıyla giriş yapılamıyor artık. Bunu aştığını söyleyen kişiler oldu ama nasıl olduğu konusunda bir fikrim yok
-
THE_MILLER bunu yazdı:
-----------------------------x3uqm4 bunu yazdı:
-----------------------------
THE_MILLER bunu yazdı:
-----------------------------
Hadi biraz beyin jimnastiği yapalım.
Her sitede Xss var mıdır ( Xss olma ihtimali olan sitelerden bahsetmekteyim ) ?
Hotmailde halen xss varmı ? Varsa neden kullanıla mıyor ? Kullanılabilir hale getirilebilir mi ?
-----------------------------
Cogu sitede en beklenmedik yerlerde xss olabiliyor. hotmail kullanmiyorum malesef :D
-----------------------------
Ben çoğu sitenin beklenen veya beklenmeyen yerini sormuyorum.Xss olma potansiyeli olan her sitede Xss varmıdır ?En basitinden şu an TBT de xss var mıdır ?
-----------------------------
Tahribatta var-dır :) -
hotmaili duzeltmislerdi , guzel bir soru sormussunuz tsk ' ler
-
göz atayım buna, teşekkürler.
-
Beyin fırtınası yapaılm dedik ama pek katılım olmadı ben cevaplayım.
Her türlü sitede Xss vardır önemli olan Xss yi kullanıp cookie çekmedir.Cookie çekilemeyen Xss tanımına tam olarak giremez.Fakat her türlü siteden cookie çekersin yani Xss mevcuttur fakat bunu kullanmakta sorun vardır tbt dahil xss olma olasılıgı olan her sitede xss vardır her sitede xss yi kısa sürede bulabilirim fakat bunu xss log sistemi ayarlayıp kullanmada biraz sıkıntı var bunuda bir düzenekle halletmekteyim.Clicjacking/ fake + xss karışımı gibi birşey....
Bunun dışında hotmail Xss ye geçelim çoğu kişi hotmailde xss yok veya anlamsız demetediler.Hotmail Xss mevcut bulmakta sıkıntı yok fakat live dan doalyı gelen cookieler muhtemelen 5 kez kriptolanmış bir şekilde gelmekte ilk 3 kriptoyu zamanında çözdüm fakat devamına gidemedim(k). Zamanım olur İleride tekrardan uğraşırsam ne olur bilemem ama Hotmail Xss mevcut sadece biraz zeka , zaman , yaratıcılık gerekmekte. KAfayı Xss ye veren arkadasların çözüceğine inanmaktayım.
Xss yi küçük birşey olarak görmeyin zamanında bir çok dev sistemlere xss ile sızdım(k).Bu yüzden bol bol Xss hakkında makale okuyup yabancı platformlardan güncel bilgileri takip edin derim. -
THE_MILLER bunu yazdı:
-----------------------------
Hadi biraz beyin jimnastiği yapalım.
Her sitede Xss var mıdır ( Xss olma ihtimali olan sitelerden bahsetmekteyim ) ?
Hotmailde halen xss varmı ? Varsa neden kullanıla mıyor ? Kullanılabilir hale getirilebilir mi ?
-----------------------------
Tabiikide vardır.Geçen sene bu hotmailde biri birşeyler bulduydu THE_MILLER nickli biri :D Yanlış hatırlıyor olabilirsem düzelt. -
hotmailde xss xsrf açığı halen mevcut bu açıkta hedef kişin inbox a düşen maillerin bir örnegini alabiliyorsunuz. netde açık bitmez.
-
XSS ILE HOTMAIL HACK"Son zamanlarda mail hırsızların gözdesi XSS yöntemi. Bu yöntemin nasıl kullanıldığını ve korunma yöntemlerini anlatacağım. Hırsız kişi, hack için düzenlenmiş Hotmail XSS kodunu internet sayfasına yerleştiriyor. Yerleştirdiği yer, genellikle ücretsiz olarak alınan domain ve hosta kurulmuş bir site oluyor (örneğin tr.cx uzantılı siteler ücretsiz alınmıştır). Düzenlenmiş Hotmail XSS kodunda bazı bilgiler kasten eksik ya da yanlış olarak mevcut ve bu bilgilerin doğruları hırsız kişi tarafından Hotmail’den isteniyor. Bu açık ilk başta Hotmail’in takvim ayarlarındaydı ama şimdi bu açığın kapatıldığını, başka açıkların mevcut olduğu söyleniyor.Hotmail XSS kurulu site sizin ilginizi çekecek bir içerikle size gönderiliyor. Örneğin bedava kontör gibi vaatlerle ya da webmasterlara “sitenize reklam vereceğim, şu adresden bannerlara bakabilirsiniz” şeklinde yalanlar olan bir mail alıyorsunuz. Siz bu adrese tıkladığınızda bilgisayarınızdaki cookie’ler (çerezler) hırsız kişinin eline geçiyor ve bu cookie’leri düzenleyerek sizin mailinize şifresiz girebiliyor. Giriş yaptıktan sonra “Şifremi unuttum” bölümünde bir şifre sıfırlama maili alarak şifrenizi de değiştirebilir, sizin adınıza arkadaşlarınıza mail de gönderebilir vs..Hotmail XSS ile hack yönteminden korunmak için yapmanız gereken bir kaç yöntem var. Tanımadığınız kişilerden gelen maillerdeki linklere asla tıklamayın. Günümüzde istediğimiz adresten mail gönderme yöntemleri olduğu için mail adresi tanıdık olan kişilerden gelen maillerdeki linklere dahi tıklamayınız. Bazen görünüşte xxx.com olan, fakat tıkladığınızda yyy.com’a giden linkler var. Mouse ile linkin üzerine gelin ve browserınızın sol altındaki bar’da hangi adrese yönlendiğine bakın. Linklere asla mail sayfasından direk tıklamayın. Adresi kopyalayıp, yeni bir pencerede açın.
