Stored cross-site scripting güvenlik açıkları, kullanıcı girdisi saklanır ve daha sonra uygulamanın yanıtlarına güvensiz bir şekilde gömüldüğünde ortaya çıkar. Saldırgan bu güvenlik açığını kullanarak, uygulamanın içine ilgili uygulama içeriğini görüntüleyen herhangi bir kullanıcının tarayıcısı içinde çalıştırılacak malicious JavaScript kodunu ekleyebilmesine olanak tanır.

Saldırgan tarafından sağlanan kod, kurbanların session tokenlarını çalmak veya oturum açmak için kullanılan kimlik bilgilerini çalmak, kendi adına arbitrary eylemler yapmak ve tuş vuruşlarını girmek gibi çok geniş çerçeveli eylemler gerçekleştirebilir.

Malicious(kötü amaçlı) içeriğin tanıtılmasına yönelik yöntemler, request parametrelerinin veya headerlarının uygulama tarafından işlenip depolandığı herhangi bir işlevi ve verilerin uygulamanın işleme alanına sokulabileceği herhangi bir out-of-bant kanal içerir (örneğin, SMTP üzerinden gönderilen e-posta mesajları sonuç olarak bir web mail uygulaması içinde oluşturulmuştur).

Stored XSS hataları, genellikle reflected güvenlik açıklıklarından daha ciddidir çünkü hedef kullanıcılara ulaşmak için ayrı bir teslim mekanizması gerektirmez ve web tarayıcısının XSS filtreleri tarafından engellenmez. Etkilenen sayfaya bağlı olarak, normal kullanıcı uygulamaları normal kullanımı sırasında saldırıya maruz kalabilir. Bazı durumlarda, katlanarak yayılan ve sonucunda tüm aktif kullanıcıları etkileyen web uygulaması solucanları(worms) oluşturmak için kullanılabilir.

Unutmayın ki stored XSS güvenlik açıklarının otomatik olarak tespit edilmesinin, uygulama içinde kalıcı olan saldırılara, uygulamayı kullanan başka bir kullanıcı tarafından, yalnızca authenticate olmuş kullanıcılar tarafından veya yalnızca saldırganın kendisi tarafından erişilebilip erişilemeyeceğini belirleyememektedir. Uygulamanın davranışının diğer uygulama kullanıcılarından ödün vermek için mümkün olup olmayacağını belirlemek için güvenlik açığının bulunduğu işlevselliği gözden geçirmelisiniz.

 

 

 

 

3 tür yöntemi vardır..

 

1 )STORED XSS SALDIRISI :

 

-form tarzı sitelerde , web sitelerin ziyaret bölümlerinde bütün xss kodları veritabanına kaydedilir.Sayfaya giren her kullanıcı aynı saldırıya maruz kalır.

 

2)REFLECTED XSS SALDIRISI:

 

-url alanlarına , veri giriş alanlarına yapılır.Ziyaretçiler bu saldırıyı göremezler.Saldırgan url adresini email gibi çeşitli iletişim kanalları işe göndererek kurbanı avlar.

 

3)DOM XSS SALDIRISI:

 

-En tehlikeli saldırısıdır. Javascript kodları ile yapılır.Dom nesneleri ile sitenin index i değiştiriebilir , sayfanın kodları ile oynayabiliriz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir