Cross site scripting
Vikipedi, özgür ansiklopedi
 |
Bu madde ya da bir kısmı, Vikipedi standartlarına uygun değildir ve bu nedenle düzenlenmesi gerekmektedir. Maddeyi Vikipedi standartlarına uygun biçimde düzenleyip, geliştirerek Vikipedi'ye katkıda bulunabilirsiniz. NOT:Gerekli değişiklik yapılmadan bu şablon kaldırılmamalıdır. Bu madde Mart 2007 tarihinden beri, düzenleme isteğiyle etiketlidir. |
 |
Yazılım ile ilgili bu madde bir taslaktır. Maddenin içeriğini geliştirerek Vikipedi'ye katkıda bulunabilirsiniz. |
Cross site scripting (XSS), bir bilgisayar güvenlik açığıdır. Saldırgan, HTML kodlarının arasına istemci tabanlı kod gömmesiyle, kullanıcının tarayıcısında istediği istemci tabanlı kodu çalıştırabilir.
[değiştir] Teknik Terimler
Cross site scripting'e XSS yerine CSS denmemesinin nedeni Cascading Style Sheets ile karıştırılmasındandır. İlk XSS kısaltması Steve Champeon tarafından 2002 yılında "XSS, Trust, and Barney" dokümanında kullanılmıştır.
[değiştir] Arkaplan
Netscape JavaScript dilini tarayıcılarında çalıştırılacağını duyurduğunda, web sunucusu tarafından gönderilen, istemcide çalıştrılabilen kodların güvenlik riskleri yaratabileceğini göstermiş oldu. Örneğin bir sayfadan çalıştırılan script, diğer bir sayfaya ulaşabilecekti. Bu yolla kötü niyetli bir web sitesinin, diğer sitelerin bilgilerini çalması üzerine engellediler. Bu nedenle bazı politikalar ortaya çıktı. Aslında bu politika, bunu engellemiyordu, sadece aynı domain üzerinden kullanılmasına izin veriyordu. Bu yol, kötü niyetli internet sitesinin, diğer sitelerden bilgi çalamamasını sağladı. O zamandan buyana, kötü niyetli sitelerden korunmak için küçük erişim kontrolü tedbirleri geliştirildi. Genelde cross site scripting açıkları, saldırganın sistemi deneme-yanılma yaparak bulması ile ortaya çıkar. Açığın bulunması ile saldırgan, başka bir domainden, açığın bulunduğu domain ve sayfanın bilgilerini, session bilgilerini ve diğer obje değerlerini çalmasına olanak sağlar.
.
[değiştir] Dış Bağlantılar
- CGI Security XSS Hakkında Sıkça Sorulan Sorular
- CERT® Advisory CA-2000-02: Malicious HTML Tags Embedded in Client Web Requests
- Apache Yazılım Vakfı Cross Site Scripting Bilgileri
- Webmonkey XSS, Trust, and Barney
- CyberSoftware Security Team And CWScriptKiddie
- Devilc0de Team Devilc0de
 |
İnternet Portalı – Vikipedi'deki İnternet ile ilgili diğer maddelere ulaşın. |
