Stored XSS (Kalıcı XSS) Nedir?

tarihinde gönderilmiş tarafından

Stored XSS, kötü niyetli bir kişinin zararlı JavaScript kodunu veritabanına kaydettirmesi ve bu kodun daha sonra siteyi ziyaret eden herkesin tarayıcısında çalışmasıdır.

Yani saldırı kalıcıdır ve herkesi etkileyebilir.

Bir site düşün:

  • Yorum yazma alanı var.
  • Saldırgan şunu yazar:
    • <script>alert('Hacklendin!');</script>

Eğer site bunu filtrelemeden kaydederse:

  • Bu yorum veritabanına girer.
  • O sayfayı açan herkesin ekranında uyarı çıkar.
  • Daha kötüsü: çerezler çalınabilir, kullanıcı hesabı ele geçirilebilir

Nasıl Korunuruz?

  1. Kullanıcı girdilerini filtrele / escape et
    • PHP’de: htmlspecialchars()
  2. HTMLPurifier gibi kütüphaneler kullan
  3. Content Security Policy (CSP) uygula
  4. Script etiketlerine asla izin verme