HTML Injection Açığı Nasıl Fixlenir? (1 Viewer)

Herkese merhaba konuya direkt bir giriş yapalım nedir ulan bu Html Injection açığı bu güvenlik zafiyeti sayesinde sitedeki bir input giriş bölümüne html kodları yazarak sitede var olmayan yani admin abimizin eklemediği bir kısmı çalıştırabilir,index atabilir,sunucuyu dinlemeye alabilir bu bizim kötü niyetli kullanıcımıza yani hackerımıza bağlı bir durum.Peki biz enayi miyiz niye böyle basit bir durumdan dolayı serverımızı riske atalım tabii ki değiliz.Şimdi bu Html Injection dediğimiz abimizin 2 türü var;

1.Reflected(Yansıtılmış) : Bu Reflected abimiz veri tabanına hiç bir kayıt gerçekleştirmiyor keza sunucu ve istemci arasında da hiç bir veri tutulmuyor.
2.Stored(Depolanmış) : Bu Stored abimizde sunucu ve veri tabanında kayıtlı kalarak o sayfaya giren her kullanıcıyı etkiliyor.

Yaaaaaani Stored > Reflected
Yaaaaaani Stored 99 power > Reflected 80 power

İkiside zararlı fakat stored abimiz covid iken reflected abimiz yaz gribi kısacası stored daha büyük zararlar verebilir.Her neyse şimdi biz bunu nasıl dodgelicaz onunda çözümü çok basit arkadaşlar.

Bir form oluşturduğumuzu düşünelim
<form action="" method="POST"> <input type="text" name="isim"/> <input type="submit" value="gönder"/> </form> <?php if($_POST){ $gelen = $_POST["isim"]; echo $gelen; }else{echo "sg"} ?>

evet arkadaşlar gördüğünüz gibi basit bir form oluşturduk ve formumuzdan gelen değeri aldık ekranımıza yazdırdık şimdi bu bizim siteye girmeye çalışan lavuk bu input giriş kısmına <h1>hacked by </h1> yazarak bize index atmış olacak ama biz bunu nasıl blockluyoruz çok basit

bu kod bloğumuzdaki $gelen = $_POST["isim"]; kısmımızı $gelen = htmlspecialchars($_POST["isim"];) diyerek blockluyoruz sonra bizim yerden bitme dostumuz öyle sabaha kadar denesin dursun.

Olabildiğince eğlenceli ve basit anlatım yapmaya çalıştım iyi forumlar.

 

Eline sağlık

 

ooo yeah

 

bakalım

 

Eline sağlık

 

Eline sağlık

sağoll

 

Eline sağlık

eywallah

 

Herkese merhaba konuya direkt bir giriş yapalım nedir ulan bu Html Injection açığı bu güvenlik zafiyeti sayesinde sitedeki bir input giriş bölümüne html kodları yazarak sitede var olmayan yani admin abimizin eklemediği bir kısmı çalıştırabilir,index atabilir,sunucuyu dinlemeye alabilir bu bizim kötü niyetli kullanıcımıza yani hackerımıza bağlı bir durum.Peki biz enayi miyiz niye böyle basit bir durumdan dolayı serverımızı riske atalım tabii ki değiliz.Şimdi bu Html Injection dediğimiz abimizin 2 türü var;

1.Reflected(Yansıtılmış) : Bu Reflected abimiz veri tabanına hiç bir kayıt gerçekleştirmiyor keza sunucu ve istemci arasında da hiç bir veri tutulmuyor.
2.Stored(Depolanmış) : Bu Stored abimizde sunucu ve veri tabanında kayıtlı kalarak o sayfaya giren her kullanıcıyı etkiliyor.

Yaaaaaani Stored > Reflected
Yaaaaaani Stored 99 power > Reflected 80 power

İkiside zararlı fakat stored abimiz covid iken reflected abimiz yaz gribi kısacası stored daha büyük zararlar verebilir.Her neyse şimdi biz bunu nasıl dodgelicaz onunda çözümü çok basit arkadaşlar.

Bir form oluşturduğumuzu düşünelim
<form action="" method="POST"> <input type="text" name="isim"/> <input type="submit" value="gönder"/> </form> <?php if($_POST){ $gelen = $_POST["isim"]; echo $gelen; }else{echo "sg"} ?>

evet arkadaşlar gördüğünüz gibi basit bir form oluşturduk ve formumuzdan gelen değeri aldık ekranımıza yazdırdık şimdi bu bizim siteye girmeye çalışan lavuk bu input giriş kısmına <h1>hacked by </h1> yazarak bize index atmış olacak ama biz bunu nasıl blockluyoruz çok basit

bu kod bloğumuzdaki $gelen = $_POST["isim"]; kısmımızı $gelen = htmlspecialchars($_POST["isim"];) diyerek blockluyoruz sonra bizim yerden bitme dostumuz öyle sabaha kadar denesin dursun.

Olabildiğince eğlenceli ve basit anlatım yapmaya çalıştım iyi forumlar.

up