Konumuzda Kali Linux içerisinde hazır olarak bulunan XSSER aracını inceleyeceğiz XSS açıkları için oldukça yararlı olduğunu söyleyebiliriz aracımız ile kolay ve hızlıca XSS tespiti yapabiliyoruz. Kısaca XSS cross-site scripting ne demek ve ne işe yarar bir göz atalım türkçe manasıyla çapraz kod çalıştırmak demektir bu açık ile java script kodları çalıştırabiliyoruz zararlı kodlar kullanıldığında cookie çalma sayfanın içinde başka sayfaya yönlendirme siteye zararlı kodlar gömerek başka saldırılar gerçekleştirebiliriz önemli ve kritik açıklıklar arasında yer almaktadır.
XSSER
Öncelikle aracımızı çalıştıralım ve ön bilgi edinelim. Konsola xsser yazarak ekrana getirebiliriz.
-> For HELP use: -h or --help
-> For GTK interface use: --gtk
Alt kısımda bu bilgileri görebiliyoruz parametre ve bilgilendirme için yardım komutunu çalıştıracağız
Ayrıca GTK yani aracın arayüzlü versiyonunun da olduğunun bilisini veriyor arayüzlü kısmıda aşağıda inceleyeceğiz.
Konsola xsser -h yazalım ve parametrelerimizi inceleyelim.
Anti-antiXSS firewall rules select bypasser special technique özel teknikler gibi bypass yöntemleri ve bir çok destekleyici özellik mevcut
Fakat bunların kullanımında XSS açığı bilgimizin ileri düzeye gelmiş olması gerekiyor XSS açıkları için yine XSSER üzerinden kendi deneyeceğim teknikleri konu olarak paylaşacağım bende XSS konusunda iyi sayılmam ama kısa sürede hep beraber üstesinden geleceğiz.
Hemen bir örnek tarama gerçekleştirelim konsola xsser -u URL şeklinde komutumuzu girelim.
Komutumuzda bir çok araçta da olduğu gibi -u parametresiyle tarama yapmak istediğimiz URL adresini belirttik. Tarama başladıktan sonra Payload denemeleri yapıyor bize açığın bulunduğunu ve url attack with ">PAYLOAD... ok şeklinde payload verdi.
Final Results kısmında 1 adet payload ın başarılı bir şekilde enjekte edildiği bilgisini sunmaktadır fakat diğer parametrelerin kullanılmasında tecrübe ve bilgi istediğinden bahsetmiştim bu sebepten dolayı aracın arayüzlü şeklini kullanmamız bizim için daha rahat ve basit olacaktır.
Konsola xsser --gtk yazalım ve arayüzlü şeklini çalıştıralım.
Karşımıza arayüzlü XSSER aracımız geldi önümüze gelen ekran kafa karıştırıcı olabilir fakat birazdan tamamen basit bir şekilde aklınıza yerleşecektir.
Öncelikle alt kısımda bulunan Fly Mode kısmında Intruder seçeneğini işaretliyoruz ve yanındaki boşluğa tarayacağımız URL i yazıyoruz.
Dilerseniz URL değil direkt olarak site adresini yazdıktan sonra Crawler tikini işaretleyerek tarama başlatabiliriz buda sitemizi komple taramaya almaktadır.
Daha sonra Aim butonuna tıklayarak konsol satırında kullanmamız gereken komutu Command bölümüne yansıtmaktadır.
Başlangıçta arayüzlü seçeneği kullanmamız bize kolaylık sağlayacaktır. Fakat komut çıkartırken parametrelerin ne işe yaradıklarını ve arayüzlü şeklin neden bize bu parametreleri sunduğunu
incelemeniz gerekmektedir. Yoksa ezberlemesi ve aklımızda kalması zor olur.
Aracımızın üst menülerinde yer alan Configure kısmında diğer özellikleri ekleyebiliriz.
Sol tarafta yine başlıklar yer almaktadır Connection yani hedef bağlantı kısmından Cookie User-Agent
Post gibi ayarları düzenleyebiliyoruz örneğin Timeout süresini düşürebilirsiniz gibi.
Bypasser bölümünde ise bypass teknikleri ayarlanabiliyor yine düzenleme için ne işe yaradıklarını
ve hedef hakkında bilgi edinilmesi gerekmektedir ayrıca diğer menülerden de ince ayarlamalar yapılabiliyor.
Ayarlamalarımızı yaparak Aim butonuna basıyoruz ve komutumuzu belirliyor bu komutu arayüz olmadan konsol üzerinde kullanabilirsiniz.
Arayüz üzerinden ise FLY butonuna basarak taramayı başlatabilirsiniz seçtiğimiz teknikler üzerinden bypass deneyerek açığı bulmaktadır gördüğünüz gibi XSSER aracımız ile basit bir şekilde XSS açıklarını taratabiliyoruz ayrıca Fly Mode kısmında görüldüğü gibi Tor Proxy özelliğide mevcuttur.
Umarım Anlaşılır Bir Konu Olmuştur Başka Bir Konumda Görüşmek Üzere Selametle..
XSSER
Öncelikle aracımızı çalıştıralım ve ön bilgi edinelim. Konsola xsser yazarak ekrana getirebiliriz.
-> For HELP use: -h or --help
-> For GTK interface use: --gtk
Alt kısımda bu bilgileri görebiliyoruz parametre ve bilgilendirme için yardım komutunu çalıştıracağız
Ayrıca GTK yani aracın arayüzlü versiyonunun da olduğunun bilisini veriyor arayüzlü kısmıda aşağıda inceleyeceğiz.
Konsola xsser -h yazalım ve parametrelerimizi inceleyelim.
Anti-antiXSS firewall rules select bypasser special technique özel teknikler gibi bypass yöntemleri ve bir çok destekleyici özellik mevcut
Fakat bunların kullanımında XSS açığı bilgimizin ileri düzeye gelmiş olması gerekiyor XSS açıkları için yine XSSER üzerinden kendi deneyeceğim teknikleri konu olarak paylaşacağım bende XSS konusunda iyi sayılmam ama kısa sürede hep beraber üstesinden geleceğiz.
Hemen bir örnek tarama gerçekleştirelim konsola xsser -u URL şeklinde komutumuzu girelim.
Komutumuzda bir çok araçta da olduğu gibi -u parametresiyle tarama yapmak istediğimiz URL adresini belirttik. Tarama başladıktan sonra Payload denemeleri yapıyor bize açığın bulunduğunu ve url attack with ">PAYLOAD... ok şeklinde payload verdi.
Final Results kısmında 1 adet payload ın başarılı bir şekilde enjekte edildiği bilgisini sunmaktadır fakat diğer parametrelerin kullanılmasında tecrübe ve bilgi istediğinden bahsetmiştim bu sebepten dolayı aracın arayüzlü şeklini kullanmamız bizim için daha rahat ve basit olacaktır.
Konsola xsser --gtk yazalım ve arayüzlü şeklini çalıştıralım.
Karşımıza arayüzlü XSSER aracımız geldi önümüze gelen ekran kafa karıştırıcı olabilir fakat birazdan tamamen basit bir şekilde aklınıza yerleşecektir.
Öncelikle alt kısımda bulunan Fly Mode kısmında Intruder seçeneğini işaretliyoruz ve yanındaki boşluğa tarayacağımız URL i yazıyoruz.
Dilerseniz URL değil direkt olarak site adresini yazdıktan sonra Crawler tikini işaretleyerek tarama başlatabiliriz buda sitemizi komple taramaya almaktadır.
Daha sonra Aim butonuna tıklayarak konsol satırında kullanmamız gereken komutu Command bölümüne yansıtmaktadır.
Başlangıçta arayüzlü seçeneği kullanmamız bize kolaylık sağlayacaktır. Fakat komut çıkartırken parametrelerin ne işe yaradıklarını ve arayüzlü şeklin neden bize bu parametreleri sunduğunu
incelemeniz gerekmektedir. Yoksa ezberlemesi ve aklımızda kalması zor olur.
Aracımızın üst menülerinde yer alan Configure kısmında diğer özellikleri ekleyebiliriz.
Sol tarafta yine başlıklar yer almaktadır Connection yani hedef bağlantı kısmından Cookie User-Agent
Post gibi ayarları düzenleyebiliyoruz örneğin Timeout süresini düşürebilirsiniz gibi.
Bypasser bölümünde ise bypass teknikleri ayarlanabiliyor yine düzenleme için ne işe yaradıklarını
ve hedef hakkında bilgi edinilmesi gerekmektedir ayrıca diğer menülerden de ince ayarlamalar yapılabiliyor.
Ayarlamalarımızı yaparak Aim butonuna basıyoruz ve komutumuzu belirliyor bu komutu arayüz olmadan konsol üzerinde kullanabilirsiniz.
Arayüz üzerinden ise FLY butonuna basarak taramayı başlatabilirsiniz seçtiğimiz teknikler üzerinden bypass deneyerek açığı bulmaktadır gördüğünüz gibi XSSER aracımız ile basit bir şekilde XSS açıklarını taratabiliyoruz ayrıca Fly Mode kısmında görüldüğü gibi Tor Proxy özelliğide mevcuttur.
Umarım Anlaşılır Bir Konu Olmuştur Başka Bir Konumda Görüşmek Üzere Selametle..
