Siteler Arası Betik (Cross-Site Scripting - XSS)

XSS, en yaygın web zafiyetlerinden biridir. Saldırganlar web sayfalarına kötü amaçlı JavaScript kodu enjekte ederek kullanıcı oturumlarını ele geçirir, kimlik bilgilerini çalar ve yetkisiz işlemler gerçekleştirir.

YÜKSEK CİDDİYETOWASP Top 10 #3CWE-793 Context

🧪 İnteraktif XSS Lab

Stored, Reflected ve DOM context'lerinde Cross-Site Scripting saldırılarında ustalaşın

XSS Context Seç

Farklı saldırı vektörlerini pratik yapmak için bir XSS context'i seçin

💾

Depolanmış XSS

Kötü amaçlı scriptlerin veritabanında saklandığı ve diğer kullanıcılar sayfayı görüntülediğinde çalıştırıldığı kalıcı XSS saldırıları

ORTA10 saldırı

🔄

Yansıtılmış XSS

Kötü amaçlı scriptin arama sonuçlarında, hata mesajlarında veya diğer yanıtlarda web sunucusundan yansıtıldığı kalıcı olmayan XSS

BAŞLANGIÇ10 saldırı

🌐

DOM Tabanlı XSS

Kullanıcı girdisini işleyen istemci tarafı JavaScript kodunda zafiyetin bulunduğu istemci tarafı XSS

İLERI3 saldırı

📖

Hızlı Referans

Çalışırken her zaman kullanılabilir

⚠️Önemli XSS CVE'leri (2024-2025)

CVE-2024-455199.8

WordPress Plugin XSS - 100.000+ siteyi etkileyen stored XSS zafiyeti

→ Admin paneli üzerinden uzaktan kod çalıştırma

CVE-2024-380639.1

Microsoft Edge Chromium XSS - Tarayıcı motorunda evrensel XSS

→ Tam hesap ele geçirme ve veri hırsızlığı

CVE-2024-217628.5

FortiOS SSL-VPN - Kimlik bilgisi hırsızlığına yol açan yansıtılmış XSS

→ Oturum ele geçirme ve yetki yükseltme

CVE-2024-46717.8

Google Chrome V8 - Prototype pollution ile DOM XSS

→ Keyfi JavaScript kodu çalıştırma

🔥OWASP Top 10

Sıralama:#3

XSS, OWASP Top 10 2021'de #3 sıradaki Injection kategorisinin bir parçasıdır ve test edilen uygulamaların %94'ünü etkiler.

📊Kritik İstatistikler

Web Apps Affected:~40%

Average CVSS Score:7.5

Typically rated HIGH severity

Stored XSS Impact:CRITICAL

Affects all users, persistent threat

🛡️Hızlı Koruma

✓Output'u her zaman encode et (HTML entities)
✓Content Security Policy (CSP) kullan
✓Cookie'lere HTTPOnly flag'i ekle
✓Allowlist ile input validasyon yap
✓Framework auto-escaping kullan
✓Use framework auto-escaping features

📚Kaynaklar

VulnSign XSS Guide