Çapraz Site Betik Saldırısı (Cross Site Scripting Attack), betik kodları (script codes) kullanılarak yapılan bir saldırı çeşitidir. Saldırganın hedefi, sitede bulunan herhangi bir yere betik kodu (HTML, JavaScript, vs.) ekleyerek, kullanıcılara ait bilgileri çalmaktır.

Saldırgan, istediğini yaptıracak olan betik kodunu kaynak siteye yerleştirmek ve ziyaretçilerin zararlı betiği kullanmasını sağlamak zorundadır. Bu yüzden "Cross Site" olarak adlandırılır.

Bir örnek vermek gerekirse; Kullanıcıları sürekli çevrimiçi olma derdinden kurtaran çerez (cookie) ve sunucu tarafında oluşturulan oturum (session) dosyaları bu yöntemle rahatlıkla çalınabilirler. Çerezlerine sahip olduğunuz bir siteyi her ziyaret ettiğinizde, tarayıcınız sizin çevrimiçi bilgilerinizi çerez dosyanızdan alarak sunucuya iletir. Bu esnada saldırgan, sitede çalıştırdığı bir betik ile bu bilgileri kendine çekebilir.

Daha ayrıntılı ama basit bir örnekle açıklayalım;

Arama seçeneği olan bir web sitesini ziyaret ettiğinizi varsayalım. Arattığınız tüm anahtar sözcükler aynı zamanda sitede görünmekte ve "Son Yapılan Aramalar" isminde bir bölümde gösterilmektedir. Web sitesinin sahibi, PHP kodlama konusunda acemi bir kişi, siz ise deneyimlisiniz. Yapılan aramaların ne olduğunu sitenin anasayfasına giren herkes görmektedir.

Eğer ki kodlayan kişi, girilen özel karakterleri süzdürmüyorsa, site büyük tehlike altındadır. Çünkü herhangi bir süzme veya denetim ortamının olmadığı sitede tüm özel bilgiler herkese açık vaziyettedir.

Yapmanız gereken "" yazarak sitenin bu kodları çalıştırıp çalıştırmadığına bakmaktır. Eğer çerez (cookie) bilgisi ekranda çıkarsa, bu sitede bir açık vardır. Burada girdiğimiz kod, bir JavaScript kodu olup, ekrana çerez bilgimizi basıyor.

Bu tarz bir durumla karşılaştığınızda istediğiniz HTML veya JavaScript kodunu girerek sitenin anasayfasını "DEFACE" edebilir hatta çerez dosyasını çalıp, içinden çıkan "HASH" i kırarak siteyi "HACK" bile edebilirsiniz.

Bu bir kodlama hatası ve açıktır. Bu sorunu çözmenin yolu HTML etiketlerini süzmekten geçmektedir. Uzman bir PHP programcısı bu hataya düşmez ancak, yeni bir programcı bu hataları sık yapar.

Temelde XSS bu mantıkla çalışmaktadır. Kendi betiğinizi karşıdakinin görebileceği şekilde sitede çalıştırmanız gerekir. Bazen süzme bile yapılsa bu betikler çalıştırılabilir. Bir çok "escape" fonksiyonu, "encoding" veya "tag"lardaki karakterlerle oynama yoluyla betikleri karşı tarafa geçirmek mümkün olmaktadır. Hatta bunun için basit bir etiketi bile yeterlidir.

Joomla ve Çaraz Site Betik Saldırısı

Joomla'da tüm özel bilgiler çeşitli süzgeçlerden sonra ve kısmen şifreleme ile kullanılır.
Kullanılan bileşene, modüle ve uyumlu eke bağlı olarak sunucuda oturum bilgisi tutan ve çok sayıda çerez oluşturan Joomla'nın, oluşturduğu tüm çerezler ve oturum bilgileri çeşitli yetki seviyelerine sahiptir.

Ancak, Joomla tarafından önemine arz edilen üçüncü parti eklentiler ve diğer yazılımlar, güvenlik kurallarını ihmal edebilirler. Ziyaretçilerin ve sunucunun özel bilgilerini herhangi bir şifreleme ile güvenlik ortamına dahil etmeden doğrudan kullanabilir veya çerezler aracılığı ile kullanıcının bilgisayarına yükleyebilirler. Üstelik bu eklentiler Joomla'nın güvenlik önlemlerini de kısmen engelleyebilirler.

Eğer e-Ticaret ile ilgili bir Joomla siteniz varsa, tavsiyemiz sürekli güncellenmeyen üçüncü parti eklenti ve diğer yazılımları mecbur olmadıkça kullanmamanızdır. Kullandığınızda ise eklenti ile ilgili forumlarından ve destek sitelerinden güvenlik açıkları ile ilgili bilgileri dikkatlice takip etmenizdir.

Ziyaretçilerimize güvenli bir site sunmak için, Joomla'nın resmi eklenti ve kodları dışında kalan yazılımların açıklarını bulmalı ve ortadan kaldırmalısınız. Sitenizde bulunan tüm kodları göz önüne aldığınızda bazı açıkları farketmemiş olabilirsiniz. Bu durumda güvenlik yazılımı sunan firmaların araçlarını deneyebilirsiniz.

En fazla kullanılan güvenlik araçlarından birisine şu adresten ulaşabilirsiniz: https://chorizo-scanner.com (Üye olmanız gerekmektedir. Ücretsiz üyelik seçeneği bulunmaktadır.)