XSS' in Bokunu Çıkartmak

8-11-2007

Her zaman söylediğim bir şey vardır :

Bir işin bokunu çıkartmayacaksın.

İşin ne olduğu önemli değil, abartmayacak ve tozutmayacaksın.

Biz senelerdir bağırdık XSS diye kimse kaale almadı, ama son iki senedir bir XSS' tir dünya başımıza yıkıldı. XSS beş sene önce neyse hala o. XSS önemsiz demiyoruz ama gerçekçi etkilerini ve saldırı sonuçlarını gözönüne almak lazım.

XSS' in gücüne inanan biriyim lakin XSSShell ve XSS Tunnelling projelerim de bunun bir sonucu.

Ama şu dialogu görünce gülmek için hangi uzvumu seçsem diye otuz saniye düşünmek zorunda kalıyorum :

Q: XSS vs. SQLI can you compare them? If yes, whose impact is bigger?

Kusura bakmayın XSS ile SQL Injection' ı sonuçlarını karşılaştırmak saçmalıktan başka bir şey değil ve işte bu cümle XSS' inin bokunun çıkarıldığının birinci kanıtıdır.

Şu da ikinci kanıt :

XSS is the New Buffer Overflow

Açıkçası bu gibi bokunu çıkartmaların tek bir ana nedeni var :

Elinizde bir şey var ve siz onu biliyorsunuz. Onu olduğundan daha büyük gösterek daha fazla bir şey yapmadan kendi bilginizi olduğundan daha büyük hale getiriyorsunuz. XSS' in son zamanda başına gelen olay kesinlikle budur.

Şimdi diyorsunuz ki:

Sen de bir şeylere dellenip dellenip buraya yazı yazıyor RSS' lerimi kirletiyorsun.

Ama ne yapayım, herşeyden önce blog bir numaralı kişisel tatmin aracı değil mi?

Recent Blog Posts

See all of the blog posts