LelouchReyiz
Megapat
- Katılım
- 10 Haziran 2016
- Mesajlar
- 363
- Çözümler
- 3
Daha fazla
- Cinsiyet
- Erkek
Ziyaret edilen bir site başka site içerisindeki çerezleri çalabilir mi?
Şöyle bir kaynak buldum(Exploiting Cross-Site Scripting to Steal Cookies) ama burada sadece bir site içerisinde Backend'de inputlar için JavaScript kodu kontrolü olmaması durumunda XSS ile şifre çalmayı göstermişler. Bir siteden başka site içerisindeki Cookie'yi XSS ile çalma işlemi, zararlı sitenin ziyaret edilmesi ile tetiklenecek şekilde mesela <iframe> DOM ile nasıl yapılıyor?
Tamamdır buldum. Get ya da POST yöntemi ile yapılıyormuş. Adı reflected XSS'miş.
portswigger.net
Ama bence yine de güvendeyiz. Bu kadar bariz açık(vulnerability) barındıran bir site zaten yüksek olasılıkla önemsiz bir sitedir.
Ya da javascript ile keylogger kodlayıp <iframe> tagları içerisinde victim siteyi enjecte edebilir. Ama bu seferde bilgilerimizi girmemiz gerekir. Çoğu kişi bu hataya düşmez.
Şöyle bir kaynak buldum(Exploiting Cross-Site Scripting to Steal Cookies) ama burada sadece bir site içerisinde Backend'de inputlar için JavaScript kodu kontrolü olmaması durumunda XSS ile şifre çalmayı göstermişler. Bir siteden başka site içerisindeki Cookie'yi XSS ile çalma işlemi, zararlı sitenin ziyaret edilmesi ile tetiklenecek şekilde mesela <iframe> DOM ile nasıl yapılıyor?
@LinusFenrirTamamdır buldum. Get ya da POST yöntemi ile yapılıyormuş. Adı reflected XSS'miş.
What is reflected XSS (cross-site scripting)? Tutorial & Examples | Web Security Academy
In this section, we'll explain reflected cross-site scripting, describe the impact of reflected XSS attacks, and spell out how to find reflected XSS ...
portswigger.net
Ama bence yine de güvendeyiz. Bu kadar bariz açık(vulnerability) barındıran bir site zaten yüksek olasılıkla önemsiz bir sitedir.
Ya da javascript ile keylogger kodlayıp <iframe> tagları içerisinde victim siteyi enjecte edebilir. Ama bu seferde bilgilerimizi girmemiz gerekir. Çoğu kişi bu hataya düşmez.
Son düzenleme:
