XSS Engellemek İçin Hazırlanmış Filtreler
25. ARA, 2007
1 Yorum
XSS, Kullanıcının veri girmesini sağlayan sayfalarda, kullanıcı tarafından bu veriler içine betik'ler(script) gömülerek yapılan saldırılardır. Bu saldırılar bazen kullanıcının kendisi tarafından, ya da onu başka bir isteye yönlendirmek isteyen bir saldırgan tarafından yapılıyor olabilir.
Örnek vermek gerekirse sitenizde http://www.siteniz.com/goster.php?yazi_id=456 gibi bir yerde id'ye atanan query string yerine javascript kodları yazıldığında Tarayıcı uyarı veriyorsa o sitede Çapraz Kod Çalıştırma açığı var demektir.
XSS açığını kapatmak için de bir adet betik buldum internette dolaşmam esnasında buyurun: PHP XSS FILTER gerçekten çok sağlam hazırlanmış. Ama bu demek değildir ki bu kod aşılamaz!
Ayrıca XSS hakkında daha fazla bilgi sahibi olmak ya da önlemek için şu linklere de göz atmanızda fayda var:
- CGI Security XSS Hakkında Sıkça Sorulan Sorular
- CERT® Advisory CA-2000-02: Malicious HTML Tags Embedded in Client Web Requests
- Apache Yazılım Vakfı Cross Site Scripting Bilgileri
- Webmonkey XSS, Trust, and Barney
- CyberSoftware Security Team And CWScriptKiddie
Linkler Wikipedia'dan alıntıdır.
Sponsor Linkler
Bu arada bu .htaccess kullanılarak da bir işlem yapıldığını gördüm.
siteniz root/ klasörünendeki .htaccess dosyasına
RewriteEngine On
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
yazarak da bazı karakterleri engelliyorsunuz örnek vermek gerekirse <script>alert('deneme')</script> gibi sayfaya ulaşmak isterseniz 403 hata sayfasına yönlendirsiniz