[Owasp-turkey] Gizli XSS'ler

Deniz CEVIK denizcev at gmail.com
Wed Oct 21 11:28:24 EDT 2009


Selam arkadaşlar,

Bildiğiniz üzere genel olarak XSS'ler 3 kategoriye ayrılıyor, Stored,
Reflected ve Dom-Based. Bu XSS tiplerini webapp scanner yazılımları
ile bulmak oldukça kolay. Ancak bunlar dışında kullanıcı girdisini
alan fakat girilen bilgileri görüntülemeyen, çıktı olarak "bilgiler
elimize ulaştı, eyvallah..." gibisinden mesajlar üreten uygulamalar da
belkide yukarıdakilerden daha ciddi sıkıntılar oluşturabilecek XSS
saldırılarından etkilenebiliyor.

Özellikle yazılımcılar kullanıcı girdilerinden çıktı üreten sayfalarda
XSS kontrollerini etkin bir şekilde yapmasına rağmen, bu tip
sayfalarda bu kontrolleri yapmayı göz ardı edebiliyorlar. İletişim
formları, bize ulaşın gibi formlar aracılığı ile yollanan bilgiler bir
operator tarafından yine browser ile erişilen bir arabirimle
işleniyorsa, operator browserinde istenilen scriptleri çalıştırmak
mümkün olabilir. Uygulamalardaki bu tip problemleri ise otomatik
tarama araçları ile tespit etmek malesef mümkün değil. Üstelik
genellikle yerel ağa erişim, cms arabirimine erişim cookilerini
toplama gibi ciddi sorunlar ile karşılaşılabiliyor.

Bu tip problemleri tespit etmek için <SCRIPT
SRC="http://www.site.com/xss.jpg"></SCRIPT> gibi ifadeleri parametre
değeri olarak yollayıp, kendi web sitemizin loglarına bakarak erişim
olup olmadığını kontrol edip, ilgili uygulamanın XSS açığından
etkilenip etkilenmediğini belirleyebiliriz. Benzer şekilde XSS shell
açmakda mümkün olabilir. :=) Bu xss yöntemi bir stored xss tipi olarak
nitelendirilebilir sanırım ama gizli xss diye adlandırmak daha hoş
duruyor.

Son günlerde bu problemlerle çok sık karşılatığım ve göz ardı
edildiğini gördüğüm için sizlerle paylaşmak istedim.

İyi Çalışmalar.


More information about the Owasp-turkey mailing list