SQL injection, Rfi açıklarını anlatmıştım bir de XSS açığını kapatmayı anlatayım. Doğaçlama olarak, senaryo ile anlatacağım.
XSS açığı oluşması için veri girişinin olduğu bir input alan lazım. Ben doğaçlama olarak yazacağım. Şimdi scripti açıyoruz ve input arıyoruz. CTRL f yapıp, input yazıyoruz.
<input type="text" name="hack" /><br/>
Hack adında bir inputumuz bulunmaktadır. Bu veriyi bakalım hangi method ile alıyormuş ;
Hemen altta görüyoruz;
<?php
$hack = $_POST["hack"];
Hack verisini post methodu ile alıyormuş ve herhangi bir filtreleme yok. Bu yüzden, input alanında yani yorum yazma alanında, html kodları ve JavaScript kodları çalışacaktır. Bunu önlemek için, htmlspecialchars kullanalım. Hack değişkeni önüne ekliyoruz;
$hack =htmlspecialchars($_POST["hack"]);
Bu şekilde , zafiyet fixlenmis olacaktır.
XSS açığı oluşması için veri girişinin olduğu bir input alan lazım. Ben doğaçlama olarak yazacağım. Şimdi scripti açıyoruz ve input arıyoruz. CTRL f yapıp, input yazıyoruz.
<input type="text" name="hack" /><br/>
Hack adında bir inputumuz bulunmaktadır. Bu veriyi bakalım hangi method ile alıyormuş ;
Hemen altta görüyoruz;
<?php
$hack = $_POST["hack"];
Hack verisini post methodu ile alıyormuş ve herhangi bir filtreleme yok. Bu yüzden, input alanında yani yorum yazma alanında, html kodları ve JavaScript kodları çalışacaktır. Bunu önlemek için, htmlspecialchars kullanalım. Hack değişkeni önüne ekliyoruz;
$hack =htmlspecialchars($_POST["hack"]);
Bu şekilde , zafiyet fixlenmis olacaktır.
