DOM TABANLI XSS ÖRNEĞİ

-

Basit Bir DOM Tabanlı Cross Site Scripting Zafiyeti Örneği

Aşağıdaki kodları içeren şu sayfayı düşünelim http://www.example.com/test.html:

<script>
 	document.write("<b>Geçerli URL</b> : " + document.baseURI);
</script>

http://www.orneksite.com/test.html#<script>alert(1)</script> gibi bir HTTP isteği gönderdiğinizde JavaScript kodunun çalışması için yeterli olacaktır. Çünkü siz document.write fonksiyonuyla URL’ye ne yazarsanız sayfa da onu ekrana yazar. Sayfanın kaynağına baktığınızdaysa <script>alert(1)</script> kodunu görmezsiniz. Bunun sebebiyse olan biten her şeyin DOM’da gerçekleşmesi ve JavaScript kodu tarafından çalıştırılmasıdır.

Zararlı JavaScript kodu sayfa tarafından çalıştırıldıktan sonra, kullanıcıya ait çerezlerin (cookie) çalınması veya sayfa davranışının istenildiği gibi değiştirilmesi amacıyla, DOM tabanlı XSS zafiyetinin basit bir şekilde exploit edilmesi mümkündür.


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

GÜÇ ADAM

-
Resim
Recep Tayyip Erdoğan. Türkiye Cumhuriyeti Cumhurbaşkanı ve devleti çok düşük seviyelerden yukarı çıkaran gerçek güç. Kimileri onu islam dünyasının kurtarıcısı görür kimileri hırsızlıkla suçlayacak kadar aşşağılık olur. Recep Tayyip Erdoğan diyince her zaman aklıma Hz.Yusuf'un kuyudan kurtulup Mısır'a sultan olması gelir. Okuduğu şiirden gelip muhtar dahi olamazsın demelerine rağmen devlete başkan oldu. Ne yapsalar boş göklerden gelen bir karar vardır ! dedi. Maalesef milletimizin bir kısmı tarafından reddedilmek isteniliyor. Ruhunu kaybetmiş asalak kitlenin her zaman hedefi oldu. Ama asla karakterinden taviz vermedi. ALLAH UZUN ÖMÜRLER VERSİN..
Devamı

BİR ÇIRPIDA ATATÜRK

-
Resim
Macerasına asker olarak başlayıp komutan olan bir adam. Komutanlıktan kahramana dönüşen ve ondan sonra kurtarıcı lider olarak bir cumhurbaşkanına dönüşen bir adam. Evet MUSTAFA KEMAL ATATÜRK. Maalesef hakkında çok görüş vardır. Kimisi onu ilah , tanrı olarak görür. Kimisi vatan haini diye zırvalar. Kimisi vurur kadehi laiklik der. Kimisi şeriat düşmanı der. Ama biz bir vatan haini veya peygamberi değil Gerçek Atatürk'ü bahsediyoruz.. Türk milletinin sönük kalmış özgürlük ruhunu canlandıran adamı..  Türk milletinin karakteri yüksektir. Türk milleti çalışkandır diyerek canlandıran adamı... Ne bir peygamber ne de bir hain. O Türkiyenin ilk cumhurbaşkanı ve kahramanı Mustafa Kemal Atatürk. Gerisi sadece saçmalık..
Devamı

YÜZSÜZLÜK

-
Resim
İnsanlar bazen aşşağılık ve iki yüzlü olabiliyorlar. Karakterinde varsa eğer bunu silah haline getirebiliyorlar. Eğer bir insan bir insanı yanında istemiyorsa onunla hiç bir şekilde muhattap olmak istemiyorsa yüzsüzlük yapıp inadına ona kendini göstermeye çalışmamalıdır. Dışlanma psikolojisidir bu. İstenmediği yerde veya kişide ısrarla yer kurmak isterler. Ama böyle bir şeyin asla mümkün olamayacağını anlamazlar. Bu da onları onursuz ve gurursuz bir insan haline dönüştürür. Bu kişilerin tipik özelliği asla yüzleri kızarmaz. 
Devamı