[Owasp-turkey] Dom Based XSS

Deniz Çevik deniz at biznet.com.tr
Tue Apr 1 13:27:31 UTC 2014


Merhaba



Bu durumda XSS oluşmasını engellemek için encode edilerek oluşturularak
üretilen bir çıktı, (normalde xss oluşturmayacak bir response <img
src=1> gibi) eğer bir javascript kütüphanesi tarafından (örneğin jquery)
çalıştırılıyor ve XSS oluşmasına neden oluyor ise bu DOM based'mi dir,
reflected'mi dir.



*From:* owasp-turkey-bounces at lists.owasp.org [mailto:
owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Mehmet Dursun Ince
*Sent:* Tuesday, April 01, 2014 11:34 AM
*To:* OWASP-Turkey Chapter
*Subject:* Re: [Owasp-turkey] Dom Based XSS



Merhaba

Isin icerisinde JS oldugunda DOM based demek bana gore yanlis. Ornegin user
inputu render edilen sayfada script tagleri arasina yaziliyorsa bu in-line
javascript payloadi ile exploit edilebilmekte. Bu durumda da olayin DOM Xss
ile ifade edilmesi cok yanlis. Bu ornekledigim zafiyet Reflected Xss olarak
adlandirilmalidir. Bir baska ornek olarak mesela kullanicin isimi
javascript degiskeni olarak html sayfada kullanildiysa bu durum icin Stored
Xss demek daha dogrudur bence.

Yani ozetle -bence- payloadin uygulamaya erisim sekline gore siniflandirma
yapilmalidir. Ister JS kodu icerisinde olsun isterse html tag eger POST/GET
talebinde donen sayfada zafiyet varsa Reflected. Herhangi bir DB vb yapi
uzerinde payloadin saklanma durum varsa Stored. Server side tarafina hic
iletilmeyen degiskenlerin oldugu durumlarda ise DOM based olarak
adlandirilmali.

On 1 Apr 2014 11:20, "Bedirhan Urgun" <bedirhanurgun at gmail.com> wrote:

Merhaba,

DOM Based XSS'i diğer XSS tiplerinden ayıran çok belirgin bir farklılık var
mıdır? Farklılıklarını belirtmek isteniz nasıl belirtirdiniz? Basit
örnekler ile cevaplamak isteyen olursa memnun oluruz.

Hiç sunucu tarafına gitmeyen bir durum olasılığı varsa DOMBased mi
demeliyiz, JS'nin işin içine bulaştığı her xss DOMBased mi olur, yoksa
source/sink sınıflandırmasını yapıp işin cılkını mı çıkarmalıyız? v.b.



bedirhan


_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20140401/f27e857a/attachment-0001.html>


More information about the Owasp-turkey mailing list