1.Bölüm ;

S.a kardeÅŸlerim bu konuda;
XSS hakkında bilmeniz gereken birkaç bilgi
XSS in aranması gereken yerler
XSS saldırılarında Sniffer kurulumu ve Cookie Çekilişi
XSS ataklarında elde edilen cookilerin kullanılışı hakkında bilgi vereceğim.
Evet Xss hakkında bilgi vermek gerekirse diğer adı Cross Site Scripting olan
Xss atakları webmaster ların scriptte javakodlarının çalıştırılmasında zararlı
karakterleri engellemeden devam etmeleridir. Xss ataklarında Js kodlarını tamamen
engellemek imkansızdır çünkü java script ile çalışan birçok şey sitede mevcut olabilir.
O yüzden bu açığın kapatılmasında yanlızca Xss de kullanılan zararlı karakterler engellenmelidir.
Şimdi bu XSS atağını arayacağımız nerelerdir ona değinelim.Bu video mda örnek olarak site vermeyeceğim
yanlız diğer XSS videolarımda tek tek hepsini bulacaksınız bu giriş videomda anlatacaklarım Bu bahsettiğim
başlıklar olacaktır.Evet XSS arayacağımız yerler nerelerdir.
* Arama Motorları
* Ä°nput DeÄŸerleri ( Login user pass isteyen yerler dahil )
* Url kısmında veri girişlerinin dahil edildiği değer bölümleri
Evet bunlar üzerinde XSS aranabilir. kullanıcıdan veri girilen her yerde arayabilirsiniz
ÖrneÄŸin ziyaretçi defterleri yorum yapılan kısımlar vb…
Öncelikle anlatmamız gereken birşeydi ama şimdi değinelim
XSS ile neler yapılabilir
Cookie yani şifrenin site tarafından bizim bilgisayar üzerinde bıraktığı giriş verileri
çekilebilir.
Yönlendirme atılarak site başka bir siteye yönlendirilebilir.
Kontor sitelerinde kontor kartı bilgilerinin elektronik Cookieleri çekilebilir.
Bundan bahsettiÄŸim de user pass verileri gibi kontor ÅŸifrelerinin cookie deÄŸerleridir.
Bizim bilgisayarımıza bırakılan cookieler yerine bizde adminin bilgisayarındakileri çekeceğiz.
bunun için sniffer a ihtiyacımız var.Bunu ileriki videomuzda göreceğiz.Evet sniffer nedir kısaca
değinmek gerekirse bizim kendi sitelerimizden birinin üzerine kurduğumuz ve cookielerin çekilmesi
için gerekli dökümanları barındıran yardımcı scriptimiz diyebiliriz.
Bunu kurduğumuz adreste gereken linki admine tıklatmamız şarttır.
Veya pm olarak attığımız değeri otomatik çalıştırma kodumuzla js kodumuzu aktif ederek te gerçekleştirebiliriz.
yeterki admin istediğimiz bölüme giriş yapsın.Yani bunda Admin üzerinden veri çekeceğiz (sniffer için geçerli)
Kısaca anlatacaklarım bu kadar XSS atak videolarımıza devam edebiliriz.
Selametle kalın esen kalın

2.Bölüm

S.a kardeşlerim XSS in arandığı yerleri bir önceki konuda göstermiştik şimdi
site üzerinde XSS kodlarımızın çalışma şeklini göstereceğim. ve bize lazım olan birkaç
şeye değineceğim hemen hedef sitelere geçmek gerekirse.
Gördüğünüz gibi site üzerinde cookielerimizi çekme komutumuzu çalıştırdığımızda cookielerimiz ekrana
yansıdı.
<script>alert(document.cookie);</script>
Bu ekrana cookileri alert verdirme de kullandığımız komuttur.Diğer bir komutumuzda istedğimiz i alert verdirme hemen bakalım.
Gördüğünüz üzere bu kodlada ekrana istediğimizi vurdurttuk. Başka birşey daha deneyelim.
Gördüğünüz üzere kendi cookilerim burada da yansıdı dikkat etmemiz gerekn “><script>alert(document.cookie);</script>
ÅŸeklinde yazdım diye bir soru sorabilirsiniz. aynı SQL by pass ta anlattığım gibi bunda da komut sonlandırma türevimiz “> tır.
By pass ta ‘– demiÅŸtim.iÅŸte arkadaÅŸlar bu ÅŸekilde bir önceki scripti durdurup kendi scriptimizi çalışmasını söylüyoruz siteye
amaç nedir ? Amacımız script te alert vermediği zaman bu yöntemi denediğimizde alert verebilir. Çünkü bir önceki scripti kapatıp
yeni oluşturduğumuz script kodunun doğru çalışmasını sağlıyoruz. Başka komutların hepsini not adlı yazımda bulabilirsiniz klasör içinde
son kez birde html kodumuzu çalıştırmayı deneyelim.
<h1> yazı boyutunu büyültme başlık boyutuna getirme kodumuz gördüğünüz üzere bu da çalıştı bu da xss in delillerindendir.
Bir başka aktaracağım şeyde şudur illaki ekrana alert vermesi gerekmiyor gördüğünüz üzere (html kod çağırma )
Veya \”> gördüğünüz gibi bir kısmını ekrana yansıttı ya aradığınız kelime “ifademizin tamamı” bulunamadı ÅŸeklinde bir uyarı verecekti
yada aradığınız bulunamadı diye ifade verebilirdi fakat kodumuzun bir kısmı ekrana yansıdı buda XSS nin varlığındandır.
Bu videomuzunda sonuna geldik bir dahaki videomuzda Sniffer kurulumu ve Meta atmadan bahsedeceÄŸim.
Selametle kalın esen kalın

2. bölüm videosu:İNDİR

rar ÅŸifresi:www.kafayap.com

3. Bölüm;

s.a aradaşlar xss nin bulunuşunu bir önceki videomuzda anlatmıştık şimdi xss nin kullanılışını göreceğiz
video biraz uzun olacak.şimdi xss ile neler yapılaiblir ;
admin veya user giriş bilgileri çalınabilir bunların adı nedir cookie
şimdi cookie bilgilerini almak için hazır snifferımızı da editlemeyi göreceğiz. evet arkadaşlar şimdi
hemen hedef sitemize geçersek. hedefimiz mynet
cookie değerlerimizi gördünüz xss miz mevcut
şimdi hemen snifferımızın kuruluşuna geçelim ben hazırladım fakat sizinle bir daha hazırlayacağız
index.html adminimize veya hedef kişimize göstereceğimiz sahte sayfadır arka planda cookieleri çalmaya yarar.

http://www.mynet.com/include/diyet/vucutKutle3.asp?c=

gördüğünüz üzere xss hatası verdirttiğimiz kodla birlik te almıyoruz birçok arkadaş burada yanılıyor.
şimdi devam edelim.bunları ftp mize atıyoruz.ardından admine tıklatmak için kendi planımızı kuruyoruz.
burada bir mynet user i seçeceğiz.ben bir arkadaşıma tıklattım. Güvenip cookilerini yolladığı için teşekkür
ediyorum.HeroTurk arkadaşımıza…
şimdi ona verdiğimiz adres aynen şöyleydi.
www.cyber-ottoman.com/document/index.html
gördüğünüz gibi fake bir görüntü hatalı sayfa diyerek yönlendirme yaptı.
ardından bize cookieleri yansıdı.cookieleri görmemiz için log.php dosyamıza bakıyoruz.ftp miz üzerinden.
mynet e girip kendi cookielerimizi editleyelim.ben cookie editör adında mozillanın bir eklentisini kullanıyorum
bunu mozilla addons tan indirebilirsiniz.şimdi dediğim gibi tüm değerlerle değiştirme yapıyoruz ben videonun uzamaması için birkaç
editlemeyi göstereceğim çünkü mynet te  çok cookie değeri var.bu tip şeyler i editlemeye pek gerek yok.dil türü vb..belirtiyor.
noktalı virgüle kadar hepsini alıyoruz.Bu kısımda videoyu durduruyorum ben hepsini tek tek editledikten sonra dönceğim.
evet arkadaşlar tüm editleme bitti.aslına bakarsanız çoğu gereksiz ama ne olur ne olmaz siz hepsini editleyin.evet kaydettikten
sonra sayfamızı yeniliyoruz.Merhaba hackedbyhero
gördüğünüz gibi cookie değişimimiz gerçekleşti. Bunda anlatacaklarımda bu kadar. bunun yanında meta dan da bahsetmek istiyorum
meta yönlendirme atma kodumuz girdiğiniz anasayfayı pek değiştiremediğiniz sitelerde inputlara bu kodu
yapıştırdığınız takdirde o sayfa başka (sizin yönlendirdiğinz sayfaya ) yönlenecektir.

Cookie editi de gösterdik xss de anlatacaklarım bu kadar selametle kalın esen kalın (f)

3. bölüm videosu ve dökümanları:İNDİR

Rar Åžifresi:www.kafayap.com

77 views

Bide Bunlara Bak Dostum !

• Hedef web sitesi hacklemek (geniÅŸ anlatım video destekli)
• Arka Sokaklar 165. Bölüm
• My Girl 1.Bölüm Ä°zle
• Türk Malı Dizisi 2. Bölüm
• Ezel Dizisi 21. Bölüm Full izle