Cross-Site Scripting (XSS), internetteki en yayg\u0131n siber g\u00fcvenlik a\u00e7\u0131klar\u0131ndan biridir. XSS, genellikle web uygulamalar\u0131n\u0131 hedefleyen sald\u0131rganlar taraf\u0131ndan yayg\u0131n olarak kullan\u0131l\u0131r ve ba\u015flang\u0131c\u0131ndan bu yana OWASP ilk 10’a dahil edilmi\u015ftir.<\/p>\n
Peki Cross-Site Scripting (XSS) tam olarak nedir?<\/p>\n
Cross-site scripting attack (XSS) yani siteler aras\u0131 komut dosyas\u0131 \u00e7al\u0131\u015ft\u0131rma sald\u0131r\u0131s\u0131, bir bilgisayar korsan\u0131n\u0131n, iyi huylu ve g\u00fcvenilir olarak g\u00f6r\u00fclen bir web sayfas\u0131n\u0131n i\u00e7eri\u011fine, genellikle istemci taraf\u0131 komut dosyas\u0131 bi\u00e7iminde k\u00f6t\u00fc ama\u00e7l\u0131 kod enjekte etmesiyle olu\u015fur. K\u00f6t\u00fc ama\u00e7l\u0131 komut dosyas\u0131 genellikle, JavaScript ve HTML olan istemci taraf\u0131 programlama dillerinde yaz\u0131l\u0131r.<\/p>\n
Genel olarak, XSS sald\u0131r\u0131lar\u0131na yatk\u0131n web uygulamalar\u0131, kullan\u0131c\u0131lar\u0131n girdilerini do\u011frulamaz veya kodlamaz. Bir siber su\u00e7lu, bu kusurdan yararlanabilir ve \u015f\u00fcphelenmeyen bir son kullan\u0131c\u0131ya tehlikeli bir komut dosyas\u0131 g\u00f6nderebilir. Ne yaz\u0131k ki, kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131, komut dosyas\u0131na g\u00fcvenilir bir kaynaktan geliyormu\u015f gibi davran\u0131r ve onu y\u00fcr\u00fct\u00fcr; bu, potansiyel olarak \u015f\u00fcphelenmeyen kullan\u0131c\u0131ya zarar verir.<\/p>\n
Tipik olarak, siteler aras\u0131 komut dosyas\u0131 \u00e7al\u0131\u015ft\u0131rma sald\u0131r\u0131s\u0131 \u015fu \u015fekilde \u00e7al\u0131\u015f\u0131r:<\/p>\n
XSS i\u00e7in \u00fc\u00e7 ana sald\u0131r\u0131 stratejisi vard\u0131r. Bunlar DOM XSS, reflected XSS ve stored XSS’dir.<\/p>\n
DOM XSS: <\/b>DOM tabanl\u0131 bir XSS sald\u0131r\u0131 stratejisinde, bilgisayar korsan\u0131, orijinal istemci komut dosyas\u0131n\u0131n \u00e7al\u0131\u015ft\u0131\u011f\u0131 kurban\u0131n taray\u0131c\u0131s\u0131nda belge nesne modelini (DOM) de\u011fi\u015ftirerek y\u00fck\u00fc enjekte eder. Sayfa de\u011fi\u015fmez, ancak sayfada bulunan istemci taraf\u0131 kodu, k\u00f6t\u00fc ama\u00e7l\u0131 kod de\u011fi\u015fiklikleriyle \u00e7al\u0131\u015f\u0131r.<\/p>\n
Reflected XSS: <\/b>Kal\u0131c\u0131 olmayan XSS olarak da bilinen reflected XSS siber sald\u0131r\u0131s\u0131nda, bilgisayar korsanlar\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 komut dosyas\u0131n\u0131 do\u011frudan bir HTTP iste\u011fine enjekte eder. Ard\u0131ndan, web sunucusundan y\u00fcr\u00fct\u00fcld\u00fc\u011f\u00fc kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131na yans\u0131t\u0131r. Bilgisayar korsan\u0131 s\u0131kl\u0131kla hedeflenen ki\u015filere, onlar\u0131 savunmas\u0131z bir sayfaya getiren \u00f6zelle\u015ftirilmi\u015f ba\u011flant\u0131lar g\u00f6nderir.<\/p>\n
Reflected XSS sald\u0131r\u0131lar\u0131 kal\u0131c\u0131 de\u011fildir. Bir kullan\u0131c\u0131 k\u00f6t\u00fc niyetli bir ba\u011flant\u0131y\u0131 t\u0131klad\u0131\u011f\u0131nda, \u00f6zel olarak haz\u0131rlanm\u0131\u015f bir formun g\u00f6ndermesi veya k\u00f6t\u00fc niyetli bir siteye g\u00f6z atmas\u0131 i\u00e7in kand\u0131r\u0131ld\u0131\u011f\u0131nda, enjekte edilen kod savunmas\u0131z web sitesine gider. Web sunucusu, s\u0131rayla, enjekte edilen komut dosyas\u0131n\u0131 kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131na d\u00f6nd\u00fcr\u00fcr veya yans\u0131t\u0131r. Bu aldatma, bir hata mesaj\u0131nda, arama sonucunda veya iste\u011fin bir par\u00e7as\u0131 olarak sunucuya g\u00f6nderilen verileri i\u00e7eren ba\u015fka bir yan\u0131t t\u00fcr\u00fcnde olabilir. Taray\u0131c\u0131, yan\u0131t\u0131n, kullan\u0131c\u0131n\u0131n zaten etkile\u015fimde bulundu\u011fu “g\u00fcvenilir” bir sunucudan geldi\u011fini varsayd\u0131\u011f\u0131 i\u00e7in kodu y\u00fcr\u00fct\u00fcr.<\/p>\n
Stored XSS: <\/b>Bilgisayar korsanlar\u0131 y\u00fcklerini g\u00fcvenli\u011fi ihlal edilmi\u015f bir sunucuda depolad\u0131\u011f\u0131nda sald\u0131r\u0131lar ger\u00e7ekle\u015fir. Genellikle zarar veren bir XSS sald\u0131r\u0131 y\u00f6ntemidir. Sald\u0131rgan, y\u00fcklerini hedef uygulamaya enjekte etmek i\u00e7in bu yakla\u015f\u0131m\u0131 kullan\u0131r. Uygulaman\u0131n giri\u015f do\u011frulamas\u0131 yoksa, k\u00f6t\u00fc ama\u00e7l\u0131 kod, uygulama taraf\u0131ndan veri taban\u0131 gibi bir konumda kal\u0131c\u0131 olarak depolan\u0131r veya kal\u0131c\u0131 olur. Pratikte bu, sald\u0131rgan\u0131n bir blog veya forum g\u00f6nderisindeki yorum b\u00f6l\u00fcmleri gibi kullan\u0131c\u0131 giri\u015f alanlar\u0131na k\u00f6t\u00fc ama\u00e7l\u0131 bir komut dosyas\u0131 girmesine olanak tan\u0131r.<\/p>\n
Sald\u0131rgan\u0131n y\u00fck\u00fc, vir\u00fcsl\u00fc sayfay\u0131 a\u00e7t\u0131\u011f\u0131nda, taray\u0131c\u0131s\u0131nda me\u015fru bir yorumun g\u00f6r\u00fcnmesiyle ayn\u0131 \u015fekilde, kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131na sunulur. Hedeflenen ki\u015filer, sayfay\u0131 taray\u0131c\u0131lar\u0131nda g\u00f6r\u00fcnt\u00fclediklerinde yanl\u0131\u015fl\u0131kla k\u00f6t\u00fc ama\u00e7l\u0131 komut dosyas\u0131n\u0131 y\u00fcr\u00fct\u00fcrler.<\/p>\n
Siteler aras\u0131 komut dosyalar\u0131n\u0131 enjekte etme y\u00f6ntemleri \u00f6nemli \u00f6l\u00e7\u00fcde farkl\u0131l\u0131k g\u00f6sterir. Bilgisayar korsanlar\u0131, savunmas\u0131z web i\u015flevselli\u011finin kendisiyle do\u011frudan etkile\u015fime girmeden bir\u00e7ok g\u00fcvenlik a\u00e7\u0131\u011f\u0131ndan yararlanabilir. Bir bilgisayar korsan\u0131n\u0131n bir web uygulamas\u0131ndan ve denetimden alabilece\u011fi herhangi bir veri, bir enjeksiyon vekt\u00f6r\u00fc olabilir.<\/p>\n
Bilgisayar korsanlar\u0131, \u00e7e\u015fitli t\u00fcrlerde etiketler kullanabilir ve orada ama\u00e7lanan\u0131n yerine JavaScript kodunu bu etiketlere yerle\u015ftirebilir. \u00d6rne\u011fin, bu etiketlerin t\u00fcm\u00fc, ger\u00e7eklere ba\u011fl\u0131 olarak baz\u0131 taray\u0131c\u0131larda \u00e7al\u0131\u015ft\u0131r\u0131labilen k\u00f6t\u00fc ama\u00e7l\u0131 kodlar ta\u015f\u0131yabilir.<\/p>\n
Daha yayg\u0131n siteler aras\u0131 komut dosyas\u0131 \u00e7al\u0131\u015ft\u0131rma sald\u0131r\u0131 vekt\u00f6rlerinden baz\u0131lar\u0131 a\u015fa\u011f\u0131daki \u015fekildedir:<\/p>\n
Onerror ve onload gibi JavaScript olay \u00f6znitelikleri \u00e7o\u011fu zaman bir\u00e7ok etikette kullan\u0131l\u0131r ve bu da onlar\u0131 bir ba\u015fka pop\u00fcler siteler aras\u0131 komut dosyas\u0131 \u00e7al\u0131\u015ft\u0131rma sald\u0131r\u0131 vekt\u00f6r\u00fc haline getirir.<\/p>\n
Cross-site scripting sald\u0131r\u0131lar\u0131n\u0131n i\u015fletmelere etkileri a\u015fa\u011f\u0131daki \u015fekildedir:<\/p>\n
XSS sald\u0131r\u0131lar\u0131; kredi kart\u0131 verileri, ad ve adres gibi hassas bilgilerin \u00e7al\u0131nmas\u0131n\u0131 i\u00e7erebilir. \u0130\u015fletmenin b\u00fcy\u00fckl\u00fc\u011f\u00fcne ve sald\u0131r\u0131n\u0131n kapsam\u0131na ba\u011fl\u0131 olarak milyonlarca ki\u015fi bu durumdan etkilenebilir. Kullan\u0131c\u0131 kimli\u011fine b\u00fcr\u00fcnmeye yol a\u00e7abilecek yetkilendirme tan\u0131mlama bilgisi h\u0131rs\u0131zl\u0131\u011f\u0131n\u0131 da i\u00e7erebilir.<\/p>\n
XSS sald\u0131r\u0131lar\u0131 itibar\u0131 olumsuz etkileyebilir ve m\u00fc\u015fteri g\u00fcvenini k\u0131rabilir. Bu da k\u00e2r \u00fczerinde negatif bir etkiye sahip olabilir.<\/p>\n
PCI DSS, GDPR ve KVKK gibi devlet ve sekt\u00f6r d\u00fczenlemeleri, ticari m\u00fc\u015fterilerin bir XSS sald\u0131r\u0131s\u0131ndan etkilenmesi durumunda i\u015fletmeleri dava ve para cezalar\u0131na tabi tutabilir.<\/p>\n
\u0130\u015fletmeler, a\u015fa\u011f\u0131daki en iyi uygulamalar\u0131 izleyerek XSS sald\u0131r\u0131lar\u0131n\u0131n say\u0131s\u0131n\u0131 ve etkisini azaltabilir:<\/p>\n
Web varl\u0131klar\u0131n\u0131z\u0131n envanterini \u00e7\u0131kar\u0131n ve sahip olduklar\u0131 veri t\u00fcr\u00fcn\u00fc \u00f6\u011frenin. Savunmas\u0131z komut dosyalar\u0131 ve herhangi bir manip\u00fclasyon belirtisi olup olmad\u0131\u011f\u0131na bak\u0131n.<\/p>\n
\u0130zinsiz giri\u015fleri, davran\u0131\u015fsal anormallikleri ve bilinmeyen tehditleri ortaya \u00e7\u0131karmak i\u00e7in istemci taraf\u0131 uygulamalara ve yaz\u0131l\u0131mlara d\u00fczenli olarak derinlemesine taramalar yap\u0131n.<\/p>\n
Kullan\u0131c\u0131 giri\u015fini\u00a0 front-end ve back-end\u2019de temizleyerek, k\u00f6t\u00fc ama\u00e7l\u0131 kodun giri\u015f g\u00f6ndermesini engelleyin.<\/p>\n
\u0130zleme ve inceleme etkinlikleri kritiktir, ancak istemci taraf\u0131 JavaScript kodunu d\u00fczenli olarak g\u00f6zden ge\u00e7irmek i\u00e7in otomatik bir \u00e7\u00f6z\u00fcm\u00fcn\u00fcz yoksa zaman al\u0131c\u0131d\u0131r. S\u00fcreci otomatikle\u015ftiren amaca y\u00f6nelik bir \u00e7\u00f6z\u00fcm, yetkisiz komut dosyas\u0131 etkinli\u011fini belirlemenin h\u0131zl\u0131 ve kolay bir yolu olabilir.<\/p>\n
Bir kullan\u0131c\u0131n\u0131n bir forma girdi\u011fi bilgileri s\u0131n\u0131rlay\u0131n. \u00d6rne\u011fin, t\u00fcm i\u00e7eri\u011fin alfasay\u0131sal olmas\u0131n\u0131 zorunlu k\u0131l\u0131n ve siteler aras\u0131 komut dosyas\u0131 olu\u015fturmada yayg\u0131n olarak kullan\u0131lan HTML veya etiketleri engelleyin.<\/p>\n
Siteler aras\u0131 komut dosyas\u0131 \u00e7al\u0131\u015ft\u0131rma sald\u0131r\u0131lar\u0131nda kullan\u0131lmalar\u0131n\u0131 \u00f6nlemek i\u00e7in bunlar\u0131 belirli bir IP adresine ba\u011flamak gibi tan\u0131mlama bilgisi kurallar\u0131 uygulay\u0131n.<\/p>\n
Bulutistan Web Uygulama G\u00fcvenlik Duvar\u0131 (WAF), i\u015fletmelerin XSS sald\u0131r\u0131lar\u0131n\u0131 ve g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 \u00f6nlemesine ve tespit etmesine yard\u0131mc\u0131 olur. Bulutistan WAF, i\u015f a\u00e7\u0131s\u0131ndan kritik web uygulamalar\u0131n\u0131 bilinen tehditlerden, yeni ve ortaya \u00e7\u0131kan sald\u0131r\u0131 y\u00f6ntemlerinden, bilinmeyen veya s\u0131f\u0131r\u0131nc\u0131 g\u00fcn g\u00fcvenlik a\u00e7\u0131klar\u0131ndan korur. \u0130\u015fletmelerin, yeni bir \u00f6zelli\u011fi devreye soktuklar\u0131, mevcut bir \u00f6zelli\u011fi g\u00fcncelledikleri veya yeni web API’lerini kullan\u0131ma sunduklar\u0131 veya ba\u015flatt\u0131klar\u0131 her zaman, de\u011fi\u015fen h\u0131zla geli\u015fen sald\u0131r\u0131 y\u00fczeylerini korur.<\/p>\n
Bulutistan WAF, i\u015fletmelerin web uygulamalar\u0131n\u0131n ve API’lerinin korumas\u0131n\u0131 art\u0131ran geli\u015fmi\u015f \u00f6zellikleri kullanmalar\u0131n\u0131 da sa\u011flar. Bu \u00f6zellikler, Open Web Application Security Project’in (OWASP) – En \u0130yi 10 web g\u00fcvenlik riski de dahil olmak \u00fczere, i\u015fletmeleri tehditlerden korumaya y\u00f6nelik \u00e7ok katmanl\u0131 bir yakla\u015f\u0131m sunar. Ayr\u0131ca Bulutistan, korumay\u0131 her uygulama i\u00e7in \u00f6zelle\u015ftirmek i\u00e7in makine \u00f6\u011frenimini kullan\u0131r; bu, web uygulamalar\u0131n\u0131 manuel olarak ayarlamak i\u00e7in zaman alan bir s\u00fcre\u00e7 olmadan sa\u011flam bir koruma sa\u011flar. Bu ayr\u0131ca i\u015fletmelerin anormal davran\u0131\u015flar\u0131 h\u0131zl\u0131 bir \u015fekilde tespit etmesine ve k\u00f6t\u00fc niyetli bot etkinli\u011fini engellemesine olanak tan\u0131r.<\/p>\n
Bulutistan WAF; donan\u0131m ara\u00e7lar\u0131, veri merkezindeki kapsay\u0131c\u0131lar, bulut tabanl\u0131 uygulamalar veya bulutta yerel Hizmet Olarak Yaz\u0131l\u0131m (SaaS) \u00e7\u00f6z\u00fcmleri gibi t\u00fcm i\u015f uygulamalar\u0131n\u0131 korumak i\u00e7in kurulabilir.<\/p>\n