CWE-692: Incomplete Denylist to Cross-Site Scripting

Yüklenme Tarihi: 2023-04-02

---

CWE-692 "Cross-Site Scripting (XSS) İçin Yetersiz Engelleme Listesi" olarak adlandırılan bir güvenlik zafiyeti türüdür. Bu zafiyet, bir web uygulamasında kullanıcı girdilerinin yeterince filtrelenmemesi veya doğru şekilde denetlenmemesi sonucu meydana gelir. Bu durumda, kötü niyetli bir kullanıcı, web uygulamasının güvenliği için kullanılan engelleme listesinde belirtilen karakterler veya kodlar yerine benzer görünümlü karakterleri veya kodları kullanarak bir saldırı gerçekleştirebilir.

Bu açık, saldırganların kötü niyetli kodları web uygulamasına göndererek, web sayfalarında XSS saldırılarına neden olmasına izin verir. XSS saldırıları, saldırganların web sayfalarına gömülü kodları kullanarak, kullanıcıların web tarayıcılarındaki çerezleri, oturum açma bilgilerini, parolaları ve diğer hassas bilgileri ele geçirmelerine olanak tanır.

Örnek bir web uygulaması düşünelim. Bu uygulamada kullanıcılar, çevrimiçi alışveriş yapmak için kredi kartı bilgilerini girmeleri gereken bir ödeme sayfasına yönlendirilirler.

Ancak uygulamanın geliştiricileri, girdileri doğru bir şekilde filtreleyemediği veya denetleyemediği için, saldırganlar kredi kartı bilgilerini çalmak için kötü amaçlı kodlar gönderebilirler. Bir saldırgan kötü amaçlı bir JavaScript kodu ile dolu bir dosya yükleyerek, kullanıcıların tarayıcısında çalıştırmasına neden olabilir.

Bu XSS saldırısı sonucunda, saldırganlar kullanıcıların kredi kartı bilgilerini ele geçirebilir ve kötü amaçlı işlemlerde kullanabilir.

Bu açığı önlemek için, uygulama geliştiricileri girdileri doğru bir şekilde filtrelemeli ve kredi kartı bilgilerini korumak için özel bir denetim mekanizması oluşturmalıdır. Örneğin, girdi alanlarına sadece sayısal karakterler kabul eden bir filtre eklemek ve özel karakterleri veya kodları reddeden bir denetim filtresi eklemek bu açığı önleyebilir.

Bu tür açıkların keşfedilmesi ve düzeltilmesi, web uygulamalarının güvenliği için çok önemlidir.

 

Örnek 1: Kullanıcıdan alınan girdinin doğru bir şekilde filtrelenmemesi    

Bu kod, kullanıcının arama terimlerinin doğrudan çıktı olarak görüntülenmesine izin verir ve saldırganlar kötü amaçlı bir kod enjekte edebilir.

 

Örnek 2: JavaScript içinde kullanıcının verilerinin kullanılması

Bu kod, saldırganların username parametresine kötü amaçlı bir kod enjekte etmelerine izin verir ve bu kodlar kullanıcının tarayıcısında çalıştırılabilir.