logologo
Ai badge logo

Bu madde yapay zeka desteği ile üretilmiştir.

XSS Saldırıları

Bilişim Ve İletişim Teknolojileri
fav gif
Kaydet
viki star outline

XSS (Cross-Site Scripting), web uygulamalarında kullanıcıdan gelen verilerin yeterli doğrulama veya filtreleme yapılmaksızın sayfa içeriğine dahil edilmesi sonucu, kötü niyetli betiklerin (genellikle JavaScript) tarayıcıda çalışmasına neden olan bir güvenlik açığı türüdür. Bu açık, saldırganların başka kullanıcıların tarayıcılarında komut çalıştırmasına imkân verir. XSS, kullanıcı bilgilerinin çalınması, oturum çerezlerinin ele geçirilmesi ve kullanıcıların farklı sayfalara yönlendirilmesi gibi çeşitli güvenlik sorunlarına yol açabilir.

XSS Saldırı Türleri

XSS saldırıları, zararlı betiğin işlendiği konuma göre çeşitli alt türlere ayrılır. Güncel sınıflandırmalarda bu saldırılar genellikle sunucu taraflı ve istemci taraflı olmak üzere iki ana başlık altında incelenir. Sunucu taraflı saldırılar, zararlı verinin sunucu üzerinden sayfa içeriğine eklenmesiyle gerçekleşirken; istemci taraflı XSS türünde betik, tarayıcıda çalışan istemci kodlarının hatalı işlemesiyle çalıştırılır.


XSS Türleri (Yapay Zeka Tarafından Oluşturulmuştur.)

Yansıtılan XSS (Reflected XSS)

Yansıtılan XSS, saldırganın zararlı betiği özel olarak hazırlanmış bir URL içine yerleştirmesiyle ortaya çıkar. Kullanıcı bu URL'yi ziyaret ettiğinde, gönderilen veri sunucu tarafından sayfa içeriğine dahil edilir ve tarayıcı bu veriyi sayfanın bir parçası gibi işler. Böylece, zararlı betik anlık olarak çalıştırılır. Bu tür saldırılar, genellikle arama kutuları, hata mesajları veya URL parametreleri gibi doğrudan kullanıcıdan alınan ve anında yanıt olarak döndürülen içeriklerde görülür.


Yansıtılan XSS, yalnızca saldırıya maruz kalan kullanıcı oturumu üzerinde etkili olur. Kurban, saldırganın gönderdiği bağlantıya tıkladığında, JavaScript komutları çalışır ve genellikle oturum çerezi gibi hassas bilgiler hedef alınır.

Depolanmış XSS (Stored XSS)

Depolanmış XSS, zararlı betiğin veri tabanı, dosya sistemi veya başka bir kalıcı ortamda saklanmasıyla ortaya çıkan kalıcı bir XSS türüdür. Saldırgan, yorum alanı, profil bilgisi veya forum gönderisi gibi kalıcı veri giriş alanlarına kötü amaçlı kodlar ekler. Bu kodlar daha sonra sayfayı ziyaret eden tüm kullanıcılar tarafından görüntülendiğinde otomatik olarak çalıştırılır.


Bu tür saldırılar, tek bir kullanıcıyı değil, uygulamayı kullanan tüm kullanıcıları etkileyebileceği için en tehlikeli XSS biçimi olarak kabul edilmektedir. Geniş kullanıcı kitlesine sahip sosyal medya platformları ve içerik paylaşım sistemleri bu tür saldırılar için daha hassas hale gelebilir.

DOM Tabanlı XSS (DOM-Based XSS)

DOM tabanlı XSS, betiğin doğrudan istemci tarafında tarayıcı tarafından çalıştırılmasıyla oluşur. Bu durumda zararlı içerik, sunucuya hiç ulaşmadan istemcideki JavaScript kodları tarafından işlenir. Örneğin, kullanıcıdan alınan bir girdi, JavaScript ile doğrudan HTML yapısına yerleştirilirse ve bu işlem uygun güvenlik kontrolleri olmadan yapılırsa, DOM XSS ortaya çıkabilir.


Bu tür XSS, sunucu tarafından fark edilemeyebilir ve yalnızca tarayıcıda çalışan betikler tarafından tetiklenir. Bu yönüyle tespiti zor, etkileri ise sınırlı olabilir; ancak hedefli saldırılar için etkili bir yöntemdir.

Saldırıların Sınıflandırılması

Güncel literatürde XSS saldırıları, işlendiği katmana göre iki ana gruba ayrılır:

  • Sunucu Taraflı XSS: Reflected ve Stored XSS bu gruba girer. Zararlı veri, sunucu tarafından HTTP yanıtına dahil edilir.
  • İstemci Taraflı XSS: DOM-Based XSS bu gruba dahildir. Saldırı, yalnızca istemci üzerinde gerçekleşir.


Bu ayrım, XSS saldırılarına karşı etkili güvenlik önlemleri geliştirilmesi açısından büyük önem taşır.

Korunma Yöntemleri

XSS saldırılarının önlenebilmesi için kullanıcı girdilerinin güvenli biçimde işlenmesi gerekir. Bu kapsamda:

  • Girdilerin doğrulanması ve potansiyel olarak tehlikeli karakterlerin filtrelenmesi,
  • HTML çıktısı oluşturulurken veri kaçırma (escaping) işlemlerinin uygulanması,
  • İçerik Güvenlik Politikası (Content Security Policy - CSP) gibi modern tarayıcı güvenlik önlemlerinin kullanılması,
  • JavaScript kodlarının kullanıcı verisi ile doğrudan etkileşime girmesinden kaçınılması gerekmektedir.


Bu önlemler, hem istemci taraflı hem de sunucu taraflı XSS saldırılarına karşı etkili koruma sağlar.

Kaynakça

Alagha, Bilal. "XSS Attack Detection with N-Gram Based Prediction Model." Eskişehir Türk Dünyası Uygulama ve Araştırma Merkezi Bilişim Dergisi 4, no. 2 (2023): 1–9. https://doi.org/10.53608/estudambilisim.1233344.

Olcay, İdris. XSS Saldırılarının Tespiti için Web Uygulama Güvenlik Duvarı (WAF) ve Makine Öğrenme Teknikleri Kullanan Hibrit Bir Yaklaşım. Yüksek Lisans Tezi, Eskişehir Osmangazi Üniversitesi, 2023. https://tez.yok.gov.tr/UlusalTezMerkezi/TezGoster?key=j_Fjwp4JS4mk97Puqti8rkrMkEWZytAKdFc0BR2eFA8cDOF3mD9J1yIJa5_UgtV-

Gupta, S., and B. B. Gupta. "Cross-Site Scripting (XSS) Attacks and Defense Mechanisms: Classification and State-of-the-Art." International Journal of Systems Assurance Engineering and Management 8, no. 1 (2015): 512–530. https://doi.org/10.1007/s13198-015-0376-0.

Sevri, Mustafa. Web Saldırılarının Tespitine Yönelik Yapay Zekâ Tabanlı Bir Güvenlik Modülü Geliştirilmesi. Yüksek Lisans Tezi, Gazi Üniversitesi, Bilişim Enstitüsü, 2016. https://avesis.gazi.edu.tr/yonetilen-tez/413958f3-901b-4df2-b00a-0260b37e3986/web-saldirilarinin-tespitine-yonelik-yapay-zeka-tabanli-bir-guvenlik-modulu-gelistirilmesi

Buz, Beraat, Berke Gülçiçek, ve Şerif Bahtiyar. “A Hybrid Machine Learning Model to Detect Reflected XSS Attack.” Balkan Journal of Electrical and Computer Engineering 9, no. 3 (2021): 235–241. https://doi.org/10.17694/bajece.927417.

Sen de Değerlendir!

0 Değerlendirme

Yazar Bilgileri

Avatar
Ana YazarAhmet Burak Taner2 Mayıs 2025 23:24
KÜRE'ye Sor