Siber güvenlik sektör fark etmeksizin artık her kurum ve şirketin vazgeçilmez konu başlıklarından biri haline gelmiştir. Özellikle yabancı devletlerin strateji ve planları incelendiğinde mutlaka kısa, orta ve uzun vadeli siber güvenlik strateji ve planları da bulunmaktadır. Bunun için ciddi bütçeler ayrılıp yatırımlar yapılarak konuya dikkat çekiliyor, önlemler alınıyor.
Tabi konu siber güvenlik olunca bahsedilmesi gereken konu başlıklarından bir tanesi de siber saldırılardır. Çok farklı teknik ve yöntemleri bulunan siber saldırılardan korunmak gelişen teknoloji ile zorlaşmaktadır. Çünkü gelişen teknoloji, saldırı teknik ve yöntemlerinin de gelişmesinin önünü açmıştır. Bugün bahsedeceğimiz konumuz “XSS Zafiyeti” olacaktır.
XSS (Cross-Site Scripting) yani “Siteler Arası Betik Çalıştırma” anlamına gelmektedir. Genellikle web uygulamalarında bulunan bir tür bilgisayar güvenlik açığıdır. XSS önemli bir zafiyettir. Eğer bu zafiyet siber saldırganlar tarafından keşfedilirse, zafiyetten ciddi zararlar doğabilecektir. XSS, farklı kişiler tarafından görüntülenebilen web sayfalarına istemci taraflı kodun entegre edilmesine olanak tanır. Yani saldırgan herkesin gördüğü web sayfalarına zararlı kod dizinlerini ekleyebilir. Yaygın bir saldırı çeşidi olan XSS, web güvenlik açıklarının genelini incelendiğinde %70’in üzerindeki kısmı kapsamaktadır.
Peki XSS Saldırısı Nasıl Gerçekleşir?
İlk olarak; kötü niyetli hackerlar, kullanıcı adı, parola ya da fatura bilgisi gibi kullanıcı verilerini incelemek amaçlı script dosyası tasarlarlar. Bu kötü amaçla hazırlanan script, web sitesine eklenir. Komut, kullanıcıda gizli bir katman görevi görür. (Bu olayı ATM cihazlarında kart bilgilerini kopyalamak için kullanılan ATM Scinner’a benzetebiliriz.). Bundan sonra hackerlar tüm kullanıcı bilgilerini toplamaya başlar.
XSS saldırısının türlerine bakacak olursak karşımıza 3 farklı çeşit çıkmaktadır. Bunlar;
- DOM XSS: Genellikle “#” işaretinden sonra payload denenmesinden sonra sayfa yenilenir. Akabinde alert alınırsa DOM XSS vardır denilir.
- Reflected XSS: Kullanıcının, girilmesi gereken parametre yerine JS kodu girerek bunu ekrana yansıtması sonucu tespit edilen bir XSS açıklığı türüdür.
- Stored XSS: Kalıcı bir açıklık türüdür. Bu sefer girilen payloadlar anlık olarak yansımaz. Bir veri tabanına ya da farklı bir yere kayıt edilir. Sonradan ziyaret edildiğinde çalışan bir XSS açıklığı türüdür.
Peki bu saldırıyı önlemek için alınabilecek önlemler nelerdir? İşte birkaç ipucu;
- Web sunucusu geçersiz istekleri yönlendirecek şekilde ayarlanabilir.
- Web sitesi içerik güvenlik politikasının pek çok farklı yönü kullanılabilir.
- Web sunucusu eşzamanlı giriş tespitlerini sonlandırabilir.
- Web sitesi daha önce kullanılan kredi kartı bilgilerinin yalnızca birkaç hanesini gösterebilir.
Tabi bu önlemler sizi tamamıyla korumayacaktır. Bu nedenle varsa bu tip açıkların tespit edilip kapatılması önem arz etmektedir. Bu konuyla ilgili alanında siber güvenlik ekibimizden detaylı bilgi alabilirsiniz. Bir çok global atağa karşı anlık koruma sağlayan VORTEX SECURE ürünümüzü incelemenizi tavsiye ederiz.
