Cross site scripting

Vikipedi, özgür ansiklopedi
Atla: kullan, ara

Cross site scripting (XSS), bilgisayar güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.

Tarihçe[değiştir | kaynağı değiştir]

Netscape, JavaScript dilinin tarayıcılarında çalıştırılabileceğini duyurduğunda web sunucusu tarafından gönderilen ve istemcide çalıştrılabilen kodların güvenlik riskleri yaratabileceğini göstermiş oluyordu. Örneğin, bir sayfadan çalıştırılan betik diğer bir sayfaya ulaşabilecekti. Kötü niyetli bir web sitesinin bu yolla diğer sitelerin bilgilerini çalması üzerine bu ayrıcalık kısıtlanmış ve söz konusu betiklerin yalnızca aynı alan adı üzerinde kullanılmasına karar verilmiştir.[kaynak belirtilmeli]

O zamandan bu yana, kötü niyetli sitelerden korunmak için küçük erişim kontrolü tedbirleri geliştirildi. Genelde cross site scripting açıkları, saldırganın sistemi deneme-yanılma yaparak bulması ile ortaya çıkmaktadır. Açığın bulunması ile saldırgan, başka bir alan adından, açığın bulunduğu alan adı ve sayfanın bilgilerini, oturum ayrıntılarını ve diğer nesne değerlerini çalabilmektedir.

Dış bağlantılar[değiştir | kaynağı değiştir]