Cross-Site Scripting (XSS) Nedir? Kötü Niyetli Kodlarla Nasıl Saldırı Yapılır ve Korunma Yöntemleri

24.03.2025
BFS
güvenlik, hacking, İnternet Güvenliği, siber güvenlik, Siber Saldırılar, Web Güvenliği, XSS, yazılım güvenliği, [Web Uygulamaları
Cross-Site Scripting (XSS) Nedir? Kötü Niyetli Kodlarla Nasıl Saldırı Yapılır ve Korunma Yöntemleri

Web uygulamalarında sık karşılaşılan Cross-Site Scripting (XSS) saldırıları, kullanıcı verilerini çalmak ve zararlı kodlar çalıştırmak amacıyla kullanılır. Bu yazıda XSS türleri, saldırılara karşı alınacak önlemler ve örnek kodlarla detaylı bir şekilde el

BFS

Web üzerinde gezinirken sürekli karşımıza çıkan reklamlar, kullanıcı yorumları ve etkileşimli formlar hepimizi ilgilendiriyor. Peki, bu unsurların arkasındaki tehlikeleri hiç düşündünüz mü? Bugün, web güvenliğinin en önemli konularından biri olan Cross-Site Scripting (XSS) hakkında bir yolculuğa çıkacağız. Bu yazıda, XSS saldırılarının ne olduğunu, nasıl çalıştığını ve bu tür saldırılara karşı nasıl korunabileceğimizi öğreneceksiniz.

XSS Nedir?

Bir web sitesine girdiğinizde, genellikle form doldurur, yorum yapar ya da bir uygulama üzerinden işlem yaparsınız. XSS, yani Cross-Site Scripting, kötü niyetli bir kullanıcının web uygulamanızdaki açıkları kullanarak zararlı JavaScript kodları eklemesiyle gerçekleşen bir saldırıdır. Bu saldırılar, genellikle kullanıcıların tarayıcılarında çalışır ve web uygulamanızdaki zayıf noktaları hedef alır.

Bir hacker, bu zafiyetlerden faydalanarak, sizin ve diğer kullanıcıların bilgilerini çalabilir, hesap bilgilerinizi ele geçirebilir hatta web sayfanızı tamamen kontrol altına alabilir. XSS saldırıları, sadece bir güvenlik açığı değil, aynı zamanda ciddi bir güven kaybına yol açabilir.

XSS Türleri

XSS saldırılarının birkaç farklı türü vardır. Her birinin kendine has yöntemleri ve etkileri bulunur. Şimdi, bu türlere göz atalım:

# 1. Stored XSS (Depolanmış XSS)
Bu tür bir saldırı, kötü niyetli kodun sunucuda kalıcı olarak depolandığı saldırıdır. Hacker, zararlı JavaScript kodunu bir web sayfasındaki form alanına yerleştirir. Bu kod, diğer kullanıcılar sayfayı her ziyaret ettiğinde çalışır. Yani bir kullanıcı sayfayı her açtığında, hacker tarafından eklenen zararlı kod otomatik olarak devreye girer.

#### 2. Reflected XSS (Yansıtmalı XSS)
Yansıtmalı XSS saldırılarında, zararlı kod sunucuya değil, doğrudan kullanıcıya yansıtılır. Hacker, kullanıcıyı özel bir URL'ye yönlendirir ve bu URL üzerinden gönderilen kötü niyetli veri, doğrudan kullanıcı tarayıcısında çalışır. Bu tür saldırılarda, zararlı kod yalnızca istekle birlikte çalışır, yani sayfa yenilendiğinde kaybolur.

# 3. DOM-based XSS (DOM Tabanlı XSS)
DOM tabanlı XSS, sayfanın Document Object Model (DOM) yapısındaki zayıf noktaları hedef alır. Web sayfası JavaScript ile dinamik olarak değiştirildiğinde, kötü niyetli kodlar DOM üzerinden yüklenir ve çalışır. Bu tür saldırılar, genellikle JavaScript'in hatalı veya eksik doğrulama yapması nedeniyle gerçekleşir.

### XSS Saldırılarına Karşı Korunma Yöntemleri

Bir web geliştiricisi olarak XSS saldırılarına karşı önlem almak, uygulamanızın güvenliğini sağlamak için çok önemlidir. İşte XSS saldırılarından korunmak için uygulayabileceğiniz bazı etkili yöntemler:

# 1. Veri Doğrulama ve Filtreleme
Web uygulamanızda kullanıcılardan gelen verileri doğrulamak ve filtrelemek, XSS saldırılarına karşı en etkili koruma yöntemlerinden biridir. Formlar aracılığıyla gelen verilerin temizlenmesi, zararlı kodların önüne geçmek için önemlidir. HTML encode işlemi kullanarak, kullanıcıdan gelen verileri doğru şekilde işlemek, zararlı JavaScript kodlarının sayfanıza sızmasını engeller.

#### 2. Content Security Policy (CSP) Kullanımı
CSP, tarayıcınıza, hangi kaynakların yüklenebileceği ve çalıştırılabileceği konusunda talimatlar verir. Eğer bir sayfada CSP uygulanırsa, dışarıdan gelen zararlı JavaScript kodları engellenebilir. Bu güvenlik katmanı, XSS saldırılarının etkisini azaltmak için önemli bir adımdır.

# 3. HTTP Only ve Secure Flag ile Çerez Güvenliği
Çerezlerinize "HttpOnly" ve "Secure" bayraklarını eklemek, özellikle oturum bilgilerinizi korumanıza yardımcı olur. Bu sayede, çerezlerinizi JavaScript kodları üzerinden çalmak daha zor hale gelir.

#### 4. Sanitasyon ve Escape İşlemleri
Kullanıcıdan gelen veriyi bir HTML sayfasında veya JavaScript kodunda gösterdiğinizde, doğru bir şekilde escape (kaçış) işlemleri yapmak gerekir. Bu işlem, kullanıcıdan gelen verilerin HTML etiketi olarak değil, düz metin olarak işlenmesini sağlar ve böylece XSS saldırılarının önüne geçebilirsiniz.

XSS Örnek Kodu

Web uygulamanızda XSS saldırılarından korunmak için aşağıdaki gibi basit bir örnekle, kullanıcıdan gelen verilerin nasıl filtrelenebileceğine bir göz atalım:


# Kullanıcıdan gelen veriyi al
user_input = ""

# Güvenli hale getirmek için HTML encode işlemi yap
import cgi
safe_input = cgi.escape(user_input)

# Güvenli veriyi ekrana yazdır
print("Kullanıcı mesajı:", safe_input)


Bu basit Python örneği, kullanıcıdan gelen zararlı JavaScript kodunun güvenli bir şekilde işlenmesini sağlar. Burada, `cgi.escape()` fonksiyonu ile zararlı içerik temizlenir.

Sonuç

Cross-Site Scripting (XSS) saldırıları, web uygulamaları için büyük bir tehdit oluşturur. Ancak doğru güvenlik önlemleri alarak bu tehditleri en aza indirebilirsiniz. XSS saldırılarını anlamak ve koruma stratejilerini öğrenmek, web geliştiricilerinin sorumluluğudur. Herhangi bir yazılım geliştirirken, kullanıcı verisini doğrulamak, güvenlik başlıkları kullanmak ve şüpheli içeriklere karşı dikkatli olmak çok önemlidir.

Eğer web sitenizi güvenli tutmak istiyorsanız, XSS’yi ciddiye almalı ve uygulamalarınızda bu önlemleri uygulamalısınız. Sonuçta, internetin güvenliği, kullanıcıların güvenliğinden geçer.
Kategori
Genel
Yazar Hakkında
BFS

BFS

Yazarın Diğer Yazıları:
Kategoriler
Popüler Yazılar
Tags
güvenlik hacking İnternet Güvenliği siber güvenlik Siber Saldırılar Web Güvenliği XSS yazılım güvenliği [Web Uygulamaları SEO (13626) Yapay Zeka (13048) Teknoloji (6862) yazılım geliştirme (6539) web geliştirme (5815)

İlgili Yazılar

Benzer konularda diğer yazılarımız

BFS BFS

VPN Kullanırken Güvenlik Hatalarından Kaçınmak: En Yaygın Yapılan 7 Hata ve Çözümleri

11.07.2025

**İnternette güvenli gezintiyi sağlamak, modern dünyada her geçen gün daha önemli hale geliyor. Hangi cihazı kullanırsanız kullanın, dijital güvenliğinizi korumak, çoğu zaman zor bir görev gibi görünebilir. Ancak **VPN** (Virtual Private Network - Sanal...

BFS BFS

Web Güvenliğini Arttırmak İçin 2025'te Kullanılacak 10 Yeni Yöntem

11.07.2025

Web güvenliği her geçen yıl daha da önemli bir konu haline geliyor. Özellikle 2025’e yaklaştıkça, hacker’lar sürekli yeni yöntemler geliştirirken, biz de onları durdurmanın yollarını arıyoruz. İnternetin büyümesiyle birlikte, her web sitesi sahibi kendini...

BFS BFS

Web Sitesi Güvenliğini Arttırmak İçin 2025'te Kullanılması Gereken En İyi 5 SSL Sertifikası Seçeneği

11.07.2025

Web sitesi güvenliği, dijital dünyada birinci öncelik haline geldi. Kullanıcı bilgilerini korumak, marka güvenilirliğini artırmak ve web sitenizin arama motorlarında üst sıralarda yer almasını sağlamak için doğru SSL sertifikasını seçmek çok önemlidir....



Tüm Yazılar