Web uygulama güvenliği denildiğinde en sık karşılaşılan açıklardan biri XSS yani “Cross Site Scripting” açığıdır. Yıllardır modern web uygulamalarında görülmeye devam eden bu zafiyet, kullanıcıların tarayıcısında zararlı JavaScript kodlarının çalıştırılmasına neden olur. Özellikle kullanıcı girdilerinin yeterince filtrelenmediği sistemlerde ortaya çıkan XSS açıkları, saldırganların oturum çalmasından kullanıcı yönlendirmeye kadar birçok kötü amaçlı işlem gerçekleştirmesine imkan tanır.
Günümüzde sosyal medya platformlarından e-ticaret sitelerine kadar pek çok web uygulaması kullanıcı girdileriyle çalışmaktadır. Arama kutuları, yorum alanları, mesaj sistemleri ve profil düzenleme sayfaları gibi bölümler kullanıcıdan veri alır ve bu verileri tekrar ekrana yansıtır. Eğer geliştirici tarafında gerekli güvenlik önlemleri alınmamışsa saldırgan bu alanlara zararlı JavaScript kodları yerleştirerek başka kullanıcıların tarayıcısında kod çalıştırabilir. İşte bu durum XSS açığı olarak adlandırılır.
XSS saldırılarının temel mantığı oldukça basittir. Web uygulaması kullanıcıdan aldığı veriyi güvenli hale getirmeden doğrudan HTML çıktısına dahil eder. Tarayıcı bu veriyi normal metin olarak değil, çalıştırılabilir kod olarak algılar. Böylece saldırgan tarafından eklenen JavaScript kodu kullanıcı tarafında çalışır hale gelir. Bu durumun en tehlikeli kısmı ise kodun sunucuda değil doğrudan kurbanın tarayıcısında çalışmasıdır.
Bir web sitesinde kullanıcı yorumlarının gösterildiğini düşünelim. Eğer sistem kullanıcı girişlerini filtrelemiyorsa saldırgan yorum alanına zararlı bir script ekleyebilir. Başka bir kullanıcı bu yorumu görüntülediğinde tarayıcı script kodunu çalıştırır. Böylece kullanıcı farkında olmadan saldırganın hazırladığı JavaScript payload’unu çalıştırmış olur. Bu payload bazen cookie çalmak için kullanılırken bazen sahte giriş ekranı göstermek veya kullanıcıyı başka bir siteye yönlendirmek amacıyla kullanılabilir.
XSS açıklarının tehlikeli olmasının temel sebeplerinden biri kullanıcı oturumlarını hedef alabilmesidir. Özellikle session cookie bilgileri ele geçirildiğinde saldırgan kullanıcı hesabına erişim sağlayabilir. Eğer hedef sistemde yönetici paneli bulunuyorsa ve yönetici kullanıcı zararlı payload’u çalıştırırsa saldırgan yönetici yetkisi elde edebilir. Bu nedenle XSS açıkları bazı durumlarda kritik seviyede değerlendirilmektedir.
Cross Site Scripting açıkları genel olarak üç farklı kategoriye ayrılır. Bunlardan ilki Stored XSS yani kalıcı XSS’tir. Bu tür saldırılarda zararlı payload sunucu tarafında saklanır. Örneğin yorum sistemi, forum mesajı veya kullanıcı profili gibi alanlara eklenen payload veritabanına kaydedilir. Daha sonra başka kullanıcılar bu veriyi görüntülediğinde zararlı kod otomatik olarak çalışır. Stored XSS genellikle en tehlikeli XSS türü olarak kabul edilir çünkü saldırı sürekli aktif halde kalabilir.
İkinci tür Reflected XSS yani yansıtılmış XSS’tir. Bu senaryoda payload sunucuda saklanmaz. Kullanıcıdan gelen veri anlık olarak sayfaya yansıtılır. Genellikle URL parametreleri üzerinden çalışır. Saldırgan özel hazırlanmış bir link oluşturur ve kurbanın bu linke tıklamasını sağlamaya çalışır. Kullanıcı bağlantıyı açtığında payload çalışır. Phishing saldırılarında bu yöntem sıkça kullanılmaktadır.
Üçüncü tür ise DOM Based XSS olarak bilinir. Bu tür saldırılarda açık tamamen istemci tarafında oluşur. Sunucu tarafında herhangi bir değişiklik olmadan JavaScript kodunun DOM üzerinde yaptığı işlemler nedeniyle zararlı kod çalıştırılır. Özellikle modern JavaScript framework’lerinde yanlış DOM manipülasyonu ciddi güvenlik sorunlarına neden olabilir.
XSS saldırılarında en sık kullanılan dil JavaScript’tir. Çünkü web tarayıcıları JavaScript kodlarını doğal olarak çalıştırır. Saldırganlar genellikle kullanıcı bilgilerini çalmak, sayfa içeriğini değiştirmek veya kullanıcıyı farklı sistemlere yönlendirmek için JavaScript payload’ları kullanır. Bunun yanında bazı durumlarda HTML injection veya event handler tabanlı payload’lar da kullanılabilir.
Bir XSS saldırısının başarılı olabilmesi için genellikle kullanıcı etkileşimi gerekir. Kullanıcının zararlı bağlantıya tıklaması veya payload içeren sayfayı ziyaret etmesi gerekir. Ancak Stored XSS senaryolarında kullanıcı herhangi bir işlem yapmasa bile payload otomatik şekilde çalışabilir. Bu durum saldırının etkisini ciddi şekilde artırır.
Modern tarayıcılar ve güvenlik mekanizmaları XSS riskini azaltmak için çeşitli koruma sistemleri sunmaktadır. Content Security Policy yani CSP bunlardan biridir. CSP sayesinde hangi script kaynaklarının çalıştırılabileceği belirlenebilir. Böylece zararlı script’lerin çalıştırılması büyük ölçüde engellenebilir. Ancak yanlış yapılandırılmış CSP politikaları koruma seviyesini düşürebilir.
XSS açıklarını önlemenin en önemli yolu kullanıcı girdilerini güvenli hale getirmektir. Kullanıcıdan alınan veriler doğrudan HTML içine yerleştirilmemelidir. Output encoding uygulanmalı ve özel karakterler escape edilmelidir. Özellikle <script> gibi tehlikeli etiketlerin filtrelenmesi önemlidir. Bunun yanında güvenli framework kullanımı ve otomatik escaping mekanizmaları da büyük avantaj sağlar.
HTTPOnly cookie kullanımı da XSS etkisini azaltan önemli yöntemlerden biridir. Eğer cookie’ler JavaScript erişimine kapatılırsa saldırganın session bilgilerini çalması zorlaşır. Ancak bu yöntem tek başına yeterli değildir. Çünkü XSS saldırıları sadece cookie çalmak için kullanılmaz. Sayfa manipülasyonu ve kullanıcı yönlendirme gibi farklı amaçlarla da kullanılabilir.
Web güvenliği testleri sırasında XSS açıkları genellikle manuel analiz ve otomatik araçlarla tespit edilir. Burp Suite bu alanda en yaygın kullanılan araçlardan biridir. Parametre analizleri, payload testleri ve response incelemeleri sayesinde potansiyel XSS noktaları keşfedilebilir. Bunun yanında OWASP ZAP gibi açık kaynak araçlar da kullanılmaktadır.
Bug bounty programlarında XSS açıkları oldukça yaygın raporlanan zafiyetler arasındadır. Çünkü pek çok web uygulaması kullanıcı girdilerini güvenli şekilde işleyememektedir. Özellikle eski sistemlerde veya hızlı geliştirilen projelerde input validation eksikliği ciddi güvenlik sorunlarına yol açabilir. Bu nedenle güvenlik araştırmacıları XSS testlerine büyük önem verir.
XSS açıklarını anlamak isteyen kişiler için pratik yapmak oldukça önemlidir. DVWA, PortSwigger Web Security Academy ve TryHackMe gibi platformlar güvenli laboratuvar ortamları sunar. Bu sistemlerde farklı XSS senaryoları denenebilir ve payload mantığı öğrenilebilir. Gerçek sistemlerde test yapmak yerine kontrollü ortamlarda çalışmak hem etik hem de güvenlik açısından doğru yaklaşımdır.
Cross Site Scripting günümüzde hala en yaygın web güvenlik açıklarından biridir. Çünkü kullanıcı girdileri modern web uygulamalarının temel parçalarından biridir ve geliştiriciler çoğu zaman güvenlik kontrollerini yeterince doğru uygulayamaz. Bu nedenle XSS hem saldırganlar hem de güvenlik uzmanları açısından önemini korumaya devam etmektedir.
Web güvenliği öğrenmek isteyen kişiler için XSS konusu temel seviyede mutlaka bilinmesi gereken alanlardan biridir. Çünkü bu açık sadece teknik detaylardan ibaret değildir. Aynı zamanda web uygulamalarının nasıl çalıştığını, tarayıcıların HTML ve JavaScript kodlarını nasıl işlediğini anlamayı sağlar. XSS mantığını öğrenen biri zamanla diğer web güvenlik açıklarını da daha kolay analiz etmeye başlayabilir.
