Bootcamp
HackathonHiring ChallengeT├╝m Etkinlikler
─░┼č ─░lanlar─▒
Yeni
┼×irketler ─░├žin
Cross Site Scripting (XSS) Nedir?

Cross Site Scripting (XSS) Nedir?

Hey, siber gezgin! ­čîŹÔťĘ Bug├╝nk├╝ yaz─▒m─▒zda, sinsi d├╝┼čman─▒m─▒z Cross Site Scripting (XSS) ile tan─▒┼č─▒yoruz. Hadi ba┼člayal─▒m!
Techcareer.net
Techcareer.net
ÔŚĆ1.11.2023

Cross Site Scripting (XSS) Nedir

├çevrim i├ži d├╝nya ile ilgilenen ki┼čilerin s─▒kl─▒kla sordu─ču sorulardan biri Cross Site Scripting nedir, XSS nedir, oluyor. K─▒saca ÔÇśÔÇÖXSSÔÇÖÔÇÖ ve ÔÇśÔÇÖXSS zafiyetiÔÇÖÔÇÖ olarak da bilinen Cross Site Scripting, ├ževrim i├ži siteler aras─▒ k├Ât├╝ ama├žl─▒ olan ├že┼čitli komut dosyalar─▒ olu┼čturmay─▒ ama├žl─▒yor. Ayr─▒ca g├╝venlik a├ž─▒─č─▒ bulunan uygulamalara gelen d─▒┼č sald─▒r─▒lar─▒ ger├žekle┼čtirme gibi ama├žlar─▒ da bulunuyor. Ayr─▒ca XSS, k├Ât├╝ ama├žl─▒ komut dosyalar─▒ g├Ânderen ├ževrim i├ži uygulamalar─▒ hedef alan bir kod enjeksiyon sald─▒r─▒s─▒n─▒ olu┼čturuyor. Cross Site ScriptingÔÇÖin neden oldu─ču bu zararl─▒ komut dosyalar─▒; oturumlar─▒n i┼čgal edilmesine, hassas olan verilerin if┼čalanmas─▒na ve ├žok daha k├Ât├╝ sonu├žlara yol a├žabiliyor. Bu XSS sald─▒r─▒lar─▒, uygulaman─▒n sahip oldu─ču ana bilgisayar ya da bilgisayarlar─▒n bizzat kendisini hedef almak yerine genellikle bu uygulamalar─▒n kullan─▒c─▒lar─▒n─▒ hedefliyor.

Cross Site ScriptingÔÇÖde JavaScript kullan─▒larak savunmas─▒z olan bir site ├╝zerinden k├Ât├╝ amac─▒ olan i├žerikler manip├╝le ediliyor. Manip├╝le i┼člemi ise direkt olarak kullan─▒c─▒lara sald─▒rmay─▒ ama├žl─▒yor. Bir ├ževrim i├ži uygulama veya sayfa e─čer HTML kodu ile dinamik yaratmak i├žin temiz olan kullan─▒c─▒ girdilerini kullan─▒yor ise Cross Site Scripting (XSS)ÔÇÖe kar┼č─▒ savunmas─▒z oluyor. E─čer bu girdiler k├Ât├╝ ama├žl─▒ olan komut dosyas─▒ veya dosyalar─▒n─▒ i├žeriyorsa sayfan─▒n koduna eklenip kullan─▒lan taray─▒c─▒ sayesinde ge├žerli oranda y├╝r├╝t├╝l├╝yor. Bu durum ise komut dosya tabanl─▒ olan ├žok ├že┼čitli sald─▒rlara yol a├ž─▒yor. Fakat modern Cross Site ScriptingÔÇÖde JavaScript olduk├ža yayg─▒n bulunuyor. Bunun nedeni JavaScriptÔÇÖin pek ├žok tarama deneyimine temel olmas─▒ oluyor.

Cross Site Scripting (XSS) Nas─▒l ├çal─▒┼č─▒r?

Bir g├╝venlik a├ž─▒─č─▒ olan Cross Site Scripting (XSS), en yayg─▒n ├ževrim i├ži g├╝venlik sorunlar─▒ aras─▒nda yer al─▒yor. Bu ba─člamda bir di─čer ├žok sorulan soru ise XSS ne i┼če yarar oluyor. Bu sorunun cevab─▒n─▒ daha iyi kavrayabilmek i├žin Cross Site ScriptingÔÇÖin nas─▒l ├žal─▒┼čt─▒─č─▒n─▒ anlamak gerekiyor. 

  • ├çevrim i├ži d├╝nyada pek ├žok siber su├žlu veya su├žlular bulunuyor. Bu siber su├žlular, ├Âncelikle kendilerine bir site belirliyor. Sonras─▒nda kullan─▒c─▒lar─▒n girdisini kabul ederek savunmas─▒z olan fonksiyonlar─▒n tespitini yap─▒yor. Arama ├žubuklar─▒, yorum kutular─▒ ve oturum a├žma formlar─▒ gibi unsurlar, savunmas─▒z fonksiyonlara ├Ârnek olarak verilebiliyor.
     
  • Bu i┼člemlerden sonra siber su├žlular, se├žtikleri fonksiyonlara zararl─▒ kodlar─▒ giriyor. Bu zararl─▒ yani k├Ât├╝ ama├žl─▒ kodlar, programlama dillerinin en bilinen ├Ârneklerinden olan JavaScript veya HTML gibi dillerden yaz─▒labiliyor.
     
  • Siber su├žlu veya su├žlular─▒n bir sonraki hamlesi ise zararl─▒ kodlar─▒ fonksiyondan kaynaklanan ├ževrim i├ži sayfaya eklemek oluyor. Bu eklenen kod, sitenin bir par├žas─▒ haline gelerek tehlikeli bir durum olu┼čturuyor.
     
  • Kodun ne ┼čekilde enjekte edilmi┼č oldu─čuna ba─čl─▒ olarak bu zararl─▒ i├žerik, s├Âz konusu olan sitenin kendisinde bile olmayabiliyor. Bunun yerine sadece sayfan─▒n i├žerisinde halihaz─▒rda olan bir ├Âgeymi┼č gibi g├Âr├╝n├╝p kal─▒c─▒ olmayan bir imaj yaratabiliyor. 
     
  • Bu durum, ger├žek bile olmad─▒─č─▒ halde ilgili sitenin sanki tehlikedeymi┼č gibi yans─▒mas─▒na neden oluyor. Bundan dolay─▒ kullan─▒c─▒lar, siber su├žlular y├╝z├╝nden bu sayfaya giri┼č yap─▒p g├╝venlik ihlali yapan sayfan─▒n kurban─▒ olabiliyor.

─░┼čte XSS g├╝venlik zafiyeti bu i┼če yar─▒yor. Neden olabilece─či tehditler kar┼č─▒s─▒nda ├ževrim i├ži site ve uygulama sahibi olan geli┼čtirici veya kullan─▒c─▒lar─▒n bu g├╝venlik a├ž─▒klar─▒na dikkat etmesi gerekiyor. Bu kullan─▒c─▒ ve geli┼čtiricilerin gerekli ├Ânlemleri al─▒p d├╝zenli bir ┼čekilde uygulamlar─▒n─▒ veya sitelerinin g├╝venlik kontrollerini yapmalar─▒, Cross Site Scripting (XSS)ÔÇÖe kar┼č─▒ olduk├ža b├╝y├╝k bir avantaj yarat─▒yor.

Cross Site Scripting Nas─▒l ├ľnlenir?

XSS sald─▒r─▒lar─▒n─▒n pek ├žok t├╝r├╝ bulunuyor. Kal─▒c─▒, Yans─▒t─▒c─▒ ve Dom Tabanl─▒ XSS; bu sald─▒r─▒ t├╝rlerinin en yayg─▒n ve tehlikelileri olup kullan─▒c─▒ ve geli┼čtiricilere sorun yaratabiliyor. Bu y├╝zden kendilerini g├╝vene almak isteyen kullan─▒c─▒ ve geli┼čtiriciler taraf─▒ndan Cross Site Scripting (XSS) nedir sorusu kadar Cross Site Scripting Nas─▒l ├Ânlenir sorusu da olduk├ža s─▒k soruluyor.

  • ├çevrim i├ži uygulamalar─▒n ve sitelerin g├╝venli olmas─▒n─▒ sa─člamak i├žin ilgili olan t├╝m ki┼čilerin g├╝venlik sorunlar─▒n─▒n risklerinin fark─▒nda olmas─▒ gerekiyor. Bu y├╝zden de uygun e─čitimleri almalar─▒ b├╝y├╝k bir ├Ânem ta┼č─▒yor. 
     
  • Uygulamalara ve sitelere yap─▒lan her kullan─▒c─▒ giri┼či, i├žerisinde Cross Site Scripting riski bar─▒nd─▒r─▒yor. Bu y├╝zden yap─▒lacak olan b├╝t├╝n kullan─▒c─▒ giri┼člerinin ÔÇśÔÇÖg├╝venilmeyenÔÇÖÔÇÖ olarak kabul edilmesi gerekiyor.
     
  • Kullan─▒c─▒lar─▒n giri┼či i├žin JavaScript, CSS, HTML ve URL ├ž─▒k─▒┼č─▒ gibi uygun bir kodlama ┼čeklinin uygulanmas─▒ gerekiyor. Bu ├ž─▒k─▒┼člar i├žin geli┼čtiricilerin kendi kitaplar─▒ yerine mevcut kitapl─▒klar─▒ kullanmas─▒ tavsiye ediliyor. 
     
  • Kullan─▒c─▒ giri┼člerinin HTML gibi kodlar─▒ i├žermesinin nedeni, bu giri┼člerin ge├žerli etiketleri k─▒rma ├Âzelli─čine sahip olmas─▒ oluyor. Bu kodlar, kar┼č─▒ bir kodlamaya izin vermiyor. ─░┼čte tam olarak bu y├╝zden geli┼čtiricilerin do─črulanan ve g├╝venilir kitapl─▒klar─▒ kullanmas─▒ gerekiyor. 
     
  • Cross Site Scripting (XSS) zafiyetlerini minimuma indirmek i├žin ÔÇśÔÇÖHttpOnlyÔÇÖÔÇÖ isimli bayra─č─▒n ayarlanmas─▒ gerekiyor. Bu bayrak sayesinde tan─▒mlanm─▒┼č bilgilere sald─▒r─▒ya ge├žen siber su├žlular, JavaScript sayesinde bu bilgilere eri┼čim sa─člayam─▒yor.      
     
  • Ek olarak bu XSS zafiyetlerini minimuma daha b├╝y├╝k ├Âl├ž├╝de indirmek i├žin geli┼čtiricilerin ─░├žerik G├╝venli─či Politikas─▒ (CSP)ÔÇÖyi kullanmas─▒ gerekiyor. Ek bir g├╝venlik katman─▒ olan CSP, sald─▒r─▒lara kar┼č─▒ adeta bir kap─▒ bek├žisi gibi g├Ârev g├Âr├╝yor.

 

T├╝m bu bilgiler ─▒┼č─▒─č─▒nda, teknoloji d├╝nyas─▒nda g├╝venli bir kariyer in┼ča etmek ve bu t├╝r tehditlere kar┼č─▒ haz─▒rl─▒kl─▒ olmak isteyenler i├žin do─čru bilgiye sahip olmak olduk├ža ├Ânemlidir. E─čer bu alanda kariyer yapmay─▒ d├╝┼č├╝n├╝yorsan ya da mevcut kariyerini bir ad─▒m ├Âteye ta┼č─▒mak istiyorsan, sana rehber olabilecek "Kariyer Rehberi" sayfam─▒z─▒ ziyaret edebilirsin.

Ayr─▒ca, teknoloji sekt├Âr├╝nde en g├╝ncel i┼č ilanlar─▒na ula┼čmak ve kariyer f─▒rsatlar─▒ndan haberdar olmak i├žin teknoloji i┼č ilanlar─▒ sayfam─▒z─▒ takip edebilirsin. Sekt├Âr├╝n lider firmalar─▒n─▒n a├ž─▒k pozisyonlar─▒na g├Âz atarak kariyerindeki bir sonraki ad─▒m─▒ atabilirsin.

Teknolojiyle kal!


Daha Fazla

C++ ve Python Aras─▒ndaki 20 Fark Nedir?

C++ ve Python Aras─▒ndaki 20 Fark Nedir?

C++ ve Python aras─▒ndaki farklar─▒ sizler i├žin listeledik. Bu i├žerikte farkl─▒ OOP programc─▒lar─▒ olan iki farkl─▒ framework aras─▒ndaki farklar─▒ ortaya koyduk.
8.12.2023

TECHCAREER

Hakk─▒m─▒zda

SENİN İÇİN

SOSYAL MEDYA

TwitterInstagramLinkedinFacebook
techcareer.net
T├╝rkiyeÔÇÖnin teknoloji kariyeri platformu

tr
en
T├╝m haklar─▒ sakl─▒d─▒r
┬ę Copyright 2023
support@techcareer.net
─░┼čkur logo

Kariyer.net Elektronik Yay─▒nc─▒l─▒k ve ─░leti┼čim Hizmetleri A.┼×. ├ľzel ─░stihdam B├╝rosu Olarak 31/08/2021-30/08/2024 tarihleri aras─▒nda faaliyette bulunmak ├╝zere, T├╝rkiye ─░┼č Kurumu taraf─▒ndan 17/08/2021 tarih ve 9317662 say─▒l─▒ karar uyar─▒nca 170 nolu belge ile faaliyet g├Âstermektedir. 4904 say─▒l─▒ kanun uyar─▒nca i┼č arayanlardan ├╝cret al─▒nmayacak ve menfaat temin edilmeyecektir. ┼×ikayetleriniz i├žin a┼ča─č─▒daki telefon numaralar─▒na ba┼čvurabilirsiniz. T├╝rkiye ─░┼č Kurumu ─░stanbul ─░l M├╝d├╝rl├╝─č├╝: 0212 249 29 87 T├╝rkiye i┼č Kurumu ─░stanbul ├çal─▒┼čma ve ─░┼č Kurumu ├ťmraniye Hizmet Merkezi : 0216 523 90 26