Stored XSS Saldırısının Gerçekleştirilmesi

Stored XSS saldırısını DVWA sitesinde test edelim.
Aşama-1: Siteye giriş yaptık ve Stored XSS bölümüne girdik.




Aşama-2: Şimdi zararlı javascript kodu eklenebiliyor mu test edelim.
Aşama-3: ‘Message’ alanına girdiğimiz javascript kodu bizim yorumumuz. Bu yorumu veri tabanına kayıt edecek.Sayfayı ziyaret eden her kullanıcı bu saldırıdan etkilenecek. Biz burada sadece alert ile ekrana mesaj çıkarttık. Ama kullanıcılara bir şey göstermeden onların cookie bilgilerini sunucumuza gönderebiliriz.

 Aşama-4: Siteyi ziyaret eden kullanıcıların saldırıdan etkilenmesi aşağıdaki resimdeki gibidir.

 Aşama-5: Saldırının dozunu arttıralım. Şimdide veri tabanına siteyi ziyaret  eden kullanıcıların cookie bilgilerini saldırganın sunucusuna yollayalım.

 Aşama-6: Burp suite ile giden gelen verilere bakalım.


Görüldüğü gibi sayfayı ziyaret eden kullanıcı hiç bir şey fark etmeden  bilgilerini www.hackersunucu.com adresine yolladık. Bu cookie bilgileri ile siteye kurban kişiymiş gibi girebiliriz.


Yorumlar

Bu blogdaki popüler yayınlar

Web Pentest İşlemlerinde Burp Suite Kullanımı-1

Wamp Server ile Yerel Ağınızda Site Yayınlama

Web Pentest İşlemlerinde Burp Suite Kullanımı-2(Intruder Kullanımı)