konu veri güvenliği olunca elbetteki önemli bir konu !
konu hakkında en ayrıntılı korunma rehper kılavuzu
http://en.wikipedia.org/wiki/Cross-site_scripting
bizimkiler de konuyu kısaca tr çevirmişler
http://tr.wikipedia.org/wiki/Cross_site_scripting
ama çeviri kısaca söyle olmuş
" scriptlerdeki açıklar sayesinde hikırlar sizi haklarlar,
dergibi kısa ve öz bir açıklama olmuş
iyide kardeşim
bana bildimediğim bir şey söyleki
bu gibi olası saldırılardan kendimi nasıl koruyayım desemde
bu konuda 1 satır bile bir açıklama malesef yok
malesef dünyanın en çok hack vakası
burada yapılmasada ,
malesef burada yaşanıyor ! :(
çünkü bir şeyin adam akıllı türkçe açıklamasını
ve korunma yollarını adam gibi anlatan bir site bile yok ! :(
malesef
( ve herkez ingilizce bilmek zorunda da değil ayrıca ! :(
- taninmayan-68170
- 2 yorum var
- 07 Kasım 2007 14:51
sonraki yazı » kuş gözlemi için nerelere gidek... |
Yorumlar
öncelikle "xss", bu yöntemin yeni kısaltması. eski kısaltması olan "css", aynı zamanda başka bir terimin (cascading style sheets) daha kısaltması olduğu için şimdi şimdi xss oldu.
basitçe nasıl anlatabiliriz. hmm. şimdi sen bir siteye bir şekilde içerik gönderiyorsun diyelim, örneğin benim buraya yorum yazmam gibi, ya da blog yazmam gibi ve saire. internette görüntülemek için kullanılan temel dil html dili olduğundan, bu yazılar daha sonra gösterilirken güvenlik açısından html filtrelerinden geçirilir genel olarak. çoğunlukla da javascript açısından anlamlı kodların çalıştırılmasını önlemek adına yapılır.
örneğin, aşağıdaki javascript kodu ufak bir uyarı penceresi çıkartır normal html olarak gönderildiğinde:
<script>alert("hello word excel!");</script>
bu satırı ben bildirgec'te bir yorum olarak eklediğimde, (olması gerektiği gibi) yani yazı olarak görüntülersiniz. ama güvenliği bu kadar iyi olmayan bazı sitelerde ise yukarıda yazdığım kod mesajımı okuyanların bilgisayarlarında çalışacaktır.
xss'te amaç, tabii ki uyarı penceresi çıkartmak değil. genelde hor görülen bir "scripting dili" olan javascript genel kanının aksine çok güçlü bir dildir. kötü niyetli kişi, eğer iyi javascript biliyor ise bu açığı kullanarak sayfanın görüntüsünü tamamen değiştirerek size login olmanız için uyarı verdikten sonra arka planda şifreyi kendisine gönderecek bir form tasarlayabilir. ya da sizin çerezlerinizde (cookie) yer alan üyelik bilgilerini kendisine gönderebilir. ya da sizin butonlara basarak yaptığınız herhangi bir işlemi sanki siz yapmışınız gibi sizin isteğiniz dışında tetikleyebilir. (arkadaş olarak ekle, fotoğrafına puan ver, favorilerime ekle, öner vs gibi butonlar düşünebilirsin burada).
korunma amaçlı olarak şunları düşünebilirsin:
- bir sitede daha önceden görmediğin bir ek özellik varsa ve bu özellik senden gizli bir bilgi istiyorsa, yöneticileri uyararak özelliği kullanmayabilirsin.
- güvenli görmediğin sitelere girmezsin.
- sitelere linklerden değil de, adresini yazarak gidersin.
- çerez tutmazsın bilgisayarında.
- javascript'i kapatırsın.
- internete girmezsin.
:)
selametle...
pillinetwork sitelerine yorum ekleyebilmek ve daha fazlası için, üye olun ya da giriş yapın.
İlgili Yazılar
- müslüman bir hacker, pornoya karşı sanal cihat (1)
- salı akşamı msn adresimle son görüşmem oldu. (1)
- e-devlet yerine korsan-devlete doğru mu? (2)
- kafası karışık siber gençler (5)
- hacking medya ve adalet (17)
- Höh (5)
- [P]rofessional [H]acker's [L]inux [A]ssault [K]it (12)
- Filistinli hackerlar 700 israil web sitesini ka... (5)
