Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Siber Güvenlik
  4. »
  5. Web Güvenliğinde Bilinmesi Gerekenler: XSS Açığı ve Önleme Yöntemleri

Web Güvenliğinde Bilinmesi Gerekenler: XSS Açığı ve Önleme Yöntemleri

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
236 0
XSS Açığı ve Önleme Yöntemleri 2

Bu yazımızda Web Güvenliğinde Bilinmesi Gerekenler: XSS Açığı ve Önleme Yöntemleri inceleyeceğiz. 

Web sitelerinin gelişen teknolojiyle birlikte kullanımı artarken, bu sitelerdeki güvenlik zafiyetleri de önemli bir sorun haline gelmiştir. Bu zafiyetlerden biri de Cross-Site Scripting ya da kısa adıyla XSS açığıdır.

XSS açığı, kötü niyetli kişilerin web sitelerine zararlı kodlar enjekte etmelerine olanak tanıyan bir güvenlik zaafiyetidir. Bu yazıda, XSS açığının ne olduğunu anlayacak ve bu tür saldırılara karşı nasıl korunabileceğinizi öğreneceksiniz.

Owasp10 açıklarında da önemli bir yere sahiptir.

Via: https://owasp.org/www-project-top-ten/

XSS Açığı Nedir?

Otomatik XSS Açığı Bulma

XSS açığı, kullanıcıların tarayıcılarına zararlı kodlar ekleyerek bu kodların başka kullanıcılar tarafından çalıştırılmasını sağlayan bir saldırı türüdür. Genellikle kullanıcı girdilerinin yeterince doğrulanmadığı durumlarda ortaya çıkan bu açık saldırganların tarayıcıda çalışan bir kullanıcının oturumunu ele geçirmelerine ve hassas bilgilere erişmelerine neden olabilir. XSS saldırıları, çeşitli biçimlerde gerçekleşebilir ancak temel amaç zararlı kodun hedef web sitesinde çalıştırılmasını sağlamaktır.

XSS Açığı Türleri

Stored XSS (Depolanmış XSS): Bu tür saldırıda zararlı kod web uygulamasının veritabanına saklanır ve daha sonra bu kod kullanıcı tarafından çağrıldığında çalıştırılır. Örneğin, bir forumda paylaşılan zararlı bir script, forumu ziyaret eden diğer kullanıcılara ulaştığında çalışabilir. Stored XSS saldırıları, özellikle web uygulamalarındaki güvenlik zafiyetleri sonucu ortaya çıkar.

Reflected XSS (Yansıtılan XSS): Bu tür saldırıda zararlı kodlar kullanıcının tarayıcısına yansıtılır. Saldırgan, kullanıcıya özel bir link göndererek veya manipüle edilmiş bir form aracılığıyla kullanıcıyı kandırarak bu saldırıyı gerçekleştirebilir. Web uygulaması, kullanıcının girdisini doğrudan sayfaya eklediğinde bu tür bir saldırı oluşabilir.

DOM-based XSS (DOM Tabanlı XSS): Bu tür saldırıda zararlı kodlar tarayıcıda çalıştırılırken Document Object Model (DOM) manipülasyonu kullanılır. Saldırgan, tarayıcıda çalışacak olan kodu, örneğin URL’deki bir parametre aracılığıyla veya tarayıcı tarafından işlenen başka bir kullanıcı girdisi ile kontrol eder.

İlginizi çekebilecek yazımız: Phishing Saldırısı Nedir ? Korunma yolları Nelerdir ?

XSS Açığı  Önleme?

  1. Kullanıcı Girişleri Doğrulaması: Kullanıcı girişlerini doğrulamak XSS saldırılarının önlenmesinde kritik bir adımdır. Girdilerinizi doğrulamak için güvenilir ve güncel metodları kullanmalısınız.
  2. Güvenli Kodlama Uygulamaları: Web uygulamalarınızı geliştirirken güvenli kodlama standartlarına uymak önemlidir. Güvenli kodlama, kullanıcı girdilerini işlerken güvenlik kontrolleri eklemeyi içerir.
  3. HTTP Only ve Secure Flag Kullanımı: HTTP Only ve Secure flag, çerezlerin güvenliğini artırmak için kullanılır. HTTP Only flag, tarayıcıların çerezlere sadece HTTP üzerinden erişim sağlamasını sağlarken, Secure flag sadece güvenli bağlantılarda çerezlerin iletilmesine izin verir.
  4. Content Security Policy (CSP) Kullanımı: CSP, web sitenizde hangi kaynakların yüklenip çalıştırılabileceğini belirleyen bir güvenlik politikasıdır. Doğru bir CSP yapılandırması, XSS saldırılarına karşı etkili bir koruma sağlar.
  5. Tarayıcı Güvenlik Özelliklerini Kullanma: Tarayıcıların sunduğu güvenlik özelliklerini kullanmak da önemlidir. Örneğin, tarayıcıların otomatik olarak HTML kodunu temizlemesi gibi özellikler XSS saldırılarına karşı koruma sağlayabilir.

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir