Cross Site Scripting (XSS) Nedir?
1.11.2023Cross Site Scripting (XSS) Nedir
Çevrim içi dünya ile ilgilenen kişilerin sıklıkla sorduğu sorulardan biri Cross Site Scripting nedir, XSS nedir, oluyor. Kısaca ‘’XSS’’ ve ‘’XSS zafiyeti’’ olarak da bilinen Cross Site Scripting, çevrim içi siteler arası kötü amaçlı olan çeşitli komut dosyaları oluşturmayı amaçlıyor. Ayrıca güvenlik açığı bulunan uygulamalara gelen dış saldırıları gerçekleştirme gibi amaçları da bulunuyor. Ayrıca XSS, kötü amaçlı komut dosyaları gönderen çevrim içi uygulamaları hedef alan bir kod enjeksiyon saldırısını oluşturuyor. Cross Site Scripting’in neden olduğu bu zararlı komut dosyaları; oturumların işgal edilmesine, hassas olan verilerin ifşalanmasına ve çok daha kötü sonuçlara yol açabiliyor. Bu XSS saldırıları, uygulamanın sahip olduğu ana bilgisayar ya da bilgisayarların bizzat kendisini hedef almak yerine genellikle bu uygulamaların kullanıcılarını hedefliyor.
Cross Site Scripting’de JavaScript kullanılarak savunmasız olan bir site üzerinden kötü amacı olan içerikler manipüle ediliyor. Manipüle işlemi ise direkt olarak kullanıcılara saldırmayı amaçlıyor. Bir çevrim içi uygulama veya sayfa eğer HTML kodu ile dinamik yaratmak için temiz olan kullanıcı girdilerini kullanıyor ise Cross Site Scripting (XSS)’e karşı savunmasız oluyor. Eğer bu girdiler kötü amaçlı olan komut dosyası veya dosyalarını içeriyorsa sayfanın koduna eklenip kullanılan tarayıcı sayesinde geçerli oranda yürütülüyor. Bu durum ise komut dosya tabanlı olan çok çeşitli saldırlara yol açıyor. Fakat modern Cross Site Scripting’de JavaScript oldukça yaygın bulunuyor. Bunun nedeni JavaScript’in pek çok tarama deneyimine temel olması oluyor.
Cross Site Scripting (XSS) Nasıl Çalışır?
Bir güvenlik açığı olan Cross Site Scripting (XSS), en yaygın çevrim içi güvenlik sorunları arasında yer alıyor. Bu bağlamda bir diğer çok sorulan soru ise XSS ne işe yarar oluyor. Bu sorunun cevabını daha iyi kavrayabilmek için Cross Site Scripting’in nasıl çalıştığını anlamak gerekiyor.
- Çevrim içi dünyada pek çok siber suçlu veya suçlular bulunuyor. Bu siber suçlular, öncelikle kendilerine bir site belirliyor. Sonrasında kullanıcıların girdisini kabul ederek savunmasız olan fonksiyonların tespitini yapıyor. Arama çubukları, yorum kutuları ve oturum açma formları gibi unsurlar, savunmasız fonksiyonlara örnek olarak verilebiliyor.
- Bu işlemlerden sonra siber suçlular, seçtikleri fonksiyonlara zararlı kodları giriyor. Bu zararlı yani kötü amaçlı kodlar, programlama dillerinin en bilinen örneklerinden olan JavaScript veya HTML gibi dillerden yazılabiliyor.
- Siber suçlu veya suçluların bir sonraki hamlesi ise zararlı kodları fonksiyondan kaynaklanan çevrim içi sayfaya eklemek oluyor. Bu eklenen kod, sitenin bir parçası haline gelerek tehlikeli bir durum oluşturuyor.
- Kodun ne şekilde enjekte edilmiş olduğuna bağlı olarak bu zararlı içerik, söz konusu olan sitenin kendisinde bile olmayabiliyor. Bunun yerine sadece sayfanın içerisinde halihazırda olan bir ögeymiş gibi görünüp kalıcı olmayan bir imaj yaratabiliyor.
- Bu durum, gerçek bile olmadığı halde ilgili sitenin sanki tehlikedeymiş gibi yansımasına neden oluyor. Bundan dolayı kullanıcılar, siber suçlular yüzünden bu sayfaya giriş yapıp güvenlik ihlali yapan sayfanın kurbanı olabiliyor.
İşte XSS güvenlik zafiyeti bu işe yarıyor. Neden olabileceği tehditler karşısında çevrim içi site ve uygulama sahibi olan geliştirici veya kullanıcıların bu güvenlik açıklarına dikkat etmesi gerekiyor. Bu kullanıcı ve geliştiricilerin gerekli önlemleri alıp düzenli bir şekilde uygulamlarını veya sitelerinin güvenlik kontrollerini yapmaları, Cross Site Scripting (XSS)’e karşı oldukça büyük bir avantaj yaratıyor.
Cross Site Scripting Nasıl Önlenir?
XSS saldırılarının pek çok türü bulunuyor. Kalıcı, Yansıtıcı ve Dom Tabanlı XSS; bu saldırı türlerinin en yaygın ve tehlikelileri olup kullanıcı ve geliştiricilere sorun yaratabiliyor. Bu yüzden kendilerini güvene almak isteyen kullanıcı ve geliştiriciler tarafından Cross Site Scripting (XSS) nedir sorusu kadar Cross Site Scripting Nasıl önlenir sorusu da oldukça sık soruluyor.
- Çevrim içi uygulamaların ve sitelerin güvenli olmasını sağlamak için ilgili olan tüm kişilerin güvenlik sorunlarının risklerinin farkında olması gerekiyor. Bu yüzden de uygun eğitimleri almaları büyük bir önem taşıyor.
- Uygulamalara ve sitelere yapılan her kullanıcı girişi, içerisinde Cross Site Scripting riski barındırıyor. Bu yüzden yapılacak olan bütün kullanıcı girişlerinin ‘’güvenilmeyen’’ olarak kabul edilmesi gerekiyor.
- Kullanıcıların girişi için JavaScript, CSS, HTML ve URL çıkışı gibi uygun bir kodlama şeklinin uygulanması gerekiyor. Bu çıkışlar için geliştiricilerin kendi kitapları yerine mevcut kitaplıkları kullanması tavsiye ediliyor.
- Kullanıcı girişlerinin HTML gibi kodları içermesinin nedeni, bu girişlerin geçerli etiketleri kırma özelliğine sahip olması oluyor. Bu kodlar, karşı bir kodlamaya izin vermiyor. İşte tam olarak bu yüzden geliştiricilerin doğrulanan ve güvenilir kitaplıkları kullanması gerekiyor.
- Cross Site Scripting (XSS) zafiyetlerini minimuma indirmek için ‘’HttpOnly’’ isimli bayrağın ayarlanması gerekiyor. Bu bayrak sayesinde tanımlanmış bilgilere saldırıya geçen siber suçlular, JavaScript sayesinde bu bilgilere erişim sağlayamıyor.
- Ek olarak bu XSS zafiyetlerini minimuma daha büyük ölçüde indirmek için geliştiricilerin İçerik Güvenliği Politikası (CSP)’yi kullanması gerekiyor. Ek bir güvenlik katmanı olan CSP, saldırılara karşı adeta bir kapı bekçisi gibi görev görüyor.
Tüm bu bilgiler ışığında, teknoloji dünyasında güvenli bir kariyer inşa etmek ve bu tür tehditlere karşı hazırlıklı olmak isteyenler için doğru bilgiye sahip olmak oldukça önemlidir. Eğer bu alanda kariyer yapmayı düşünüyorsan ya da mevcut kariyerini bir adım öteye taşımak istiyorsan, sana rehber olabilecek "Kariyer Rehberi" sayfamızı ziyaret edebilirsin.
Ayrıca, teknoloji sektöründe en güncel iş ilanlarına ulaşmak ve kariyer fırsatlarından haberdar olmak için teknoloji iş ilanları sayfamızı takip edebilirsin. Sektörün lider firmalarının açık pozisyonlarına göz atarak kariyerindeki bir sonraki adımı atabilirsin.
Teknolojiyle kal!
