Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation

Cross-Site Scripting (XSS) ünitesinin üçüncü dersi ve 2.aşaması olan Stage 2: Block Stored XSS using Input Validation(Aşama 2: Girdi Doğrulama Kullanarak Depolanmış XSS'i Engelleme) dersinde ilk aşamada yapılan Stored XSS saldırısının kullandığı açığı bu aşamada kapatmaya çalışacağız.

Dersin Hedefi

Firmanın insan kaynakları otomasyonuna önceki derskteki gibi stored XSS atağı yapıldığında bu xss kodunun veritabanına kaydolmasını engellemek için otomasyonu kontrol eden kodları düzelt. Ardından Eric'in profiline önceki derste yaptığınız şekilde XSS kodu ekle ve onun amiri olan David'in saldırıdan etkilenmediğini teyit et.

Dersin Çözümü

Bu ders WebGoat'un geliştirici sürümünü kullananlar içindir. Çünkü ancak geliştirici sürümünü kullanan kullanıcılar kaynak kodda değişiklik yapabilmektedir. Biz bu yazı dizisinin başından beridir WebGoat'un standard versiyonunu kullandığımız için bu dersi tamamlayamayacağız. Fakat bu dersin verdiği bilgiyi teorik olarak özümseyebiliriz. O yüzden şimdi çözüme geçelim.

Öncelikle XSS kodunun veritabanına dahil edildiği otomasyonun profil düzenleme sayfasındaki tüm metin kutularını girdi denetleme kodu ile denetleyelim. Böylece denetleme mekanizması XSS türü kod tespit ettiğinde hata fırlatsın ve akışı değiştirsin. Akışın değişmesiyle girilen veri veritabanına kaydolmamış olacaktır. Bunun için denetleme mekanizmasında kullanılacak olan yöntem regular expression diye tabir edilen, düzenli ifadeler diye çevirebileceğimiz seçenektir. Regular expression ile kabul edilecek karakter setini biçimlendirip oluşturduğumuz karakter setinin dışında bir karakter, metin kutularına girildiğinde hata fırlatılması sağlanacaktır. Veritabanına kayıt işlemi öncesine eklenecek kod şu şekildedir(NOT: Bu kod eğer geliştirici versiyonunu kullanıyorsanız UpdateProfile.java dosyasındaki parseEmployeeProfile() methodunun içine koyulmalıdır. UpdateProfile.java'yı dilerseniz şu adresten detaylı bir şekilde inceleyebilirsiniz):

String regex = "[\\s\\w-,]*";
String stringToValidate = firstName + lastName + ssn + title + phone + address1 + address2 + startDate + ccn + disciplinaryActionDate + disciplinaryActionNotes + personalDescription;
Pattern pattern = Pattern.compile(regex);
validate(stringToValidate, pattern);

Yukarıdaki regex değişkeni karakter seti uzayını ifade eden bir pattern, yani desen değeri almaktadır. Bu karakter seti uzayını oluşturan desen bileşenleri şu anlama gelmektedir:

\s : Beyaz boşluk(space)
\w : a'dan Z'ye, A'dan Z'ye tüm kelimeler(words) ve 0'dan 9'a tüm rakamlar
- : tire
, : virgül
* : Önceki desene uygun 0 ya da sayısız tane karakter

Yukarıdaki desen bileşenleri karakter uzayında barınabilecek karakterleri ifade etmektedir. Kodda yer alan stringToValidate değişkeni ise otomasyonun profil düzenleme sayfasındaki tüm metin kutularında yer alan verilerin birleşimini içinde tutmaktadır. pattern değişkeni ise az önce bahsettiğimiz kabul edilen karakter uzayına uygun desen nesnesinin referansını tutmaktadır. Bu nesne, kıyaslamada kullanılacaktır. validate() methodu sayesinde karakter uzayı ile yani desen ile metin kutularının verileri kıyaslanır. Kıyaslama sonucunda eğer metin kutularından birine desene uymayan bir karakter girilmişse validate() fonksiyonu hata fırlatacaktır ve veriler veritabanına kaydolmayacaktır.

Kodu düzeltme işlemi sonrası Eric olarak otomasyona giriş yapın. Önceki dersten hatırlayabileceğiniz üzere otomasyon şifreleri kullanıcı adlarının küçük hali idi. Dolayısıyla Eric kullanıcısının şifresi eric 'tir. Önceki derste olduğu gibi otomasyondan Eric'in ViewProfile butonuna, ardından EditProfile butonuna tıklayın ve Street yazısının yanındaki metin kutusuna <script>alert("haha");</script> yazın.

XSS kodunu girdikten sonra UpdateProfile butonuna tıklayın ve LogOut butonu ile otomasyondan Eric olarak çıkış yapın. Şu ana kadar yaptığınız şey Eric olarak kendi profil bilgilerinizden birine XSS kodu dahil etmeniz ve veritabanına öylece kaydedilmesini sağlamanızdır. Şimdi ise Eric'in amirinin kendi otomasyon hesabına girip Eric'in profil bilgilerini görüntülenmesi gerekmektedir. Amirin bu profil görüntülemesi sonucu eğer ekrana koddan dolayı bir popup mesajı gelirse Eric'in amirinin saldırıdan etkilendiği sonucuna varacağız. Şimdi Eric'in amiri olan David olarak otomasyona giriş yapın.

Sıralı personellerden Eric'i seçip ViewProfile butonuna tıklayın.

Daha önce Eric'in kendi profiline dahil ettiği XSS kodu amirinin ekranında önceki aşamanın aksine çalışmayacaktır.

Çünkü sarı ile vurgulanan profil bilgisine bakacak olursanız XSS kodu veritabanına regular expression'lı denetleyici sayesinde kaydedilmemiştir. Dolayısıyla çalıştırılacak bir saldırı kodu ortada yoktur. Bu demektir ki eklenilen girdi denetleme mekanizması doğru bir şekilde çalışmaktadır. Bu şekilde dersi eğer geliştirici versiyonunu kullanıyor olsaydınız tamamlamış olacaktınız.

Sonuç
Girdiler bu dersteki gibi web programlama dili ile denetlenmelidir. Bu denetlemenin kısıtı size kalmıştır. Dilerseniz bu dersteki gibi kabul ettiğiniz karakter setlerini kabul eden, gerisini ise kabul etmeyen bir yaklaşımı uygulayabilirsiniz, dilerseniz sadece kendi oluşturduğunuz kara liste (zararlı kodlar listesi) ile kullanıcının girdiği verileri kıyaslayarak bir denetim kurabilirsiniz. Bu size kalmış bir şeydir.

Bu yazı 14.09.2015 tarihinde, saat 20:08:17'de yazılmıştır. 03.01.2016 tarihi ve 22:43:16 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 3149

Yorumlar

Kadir
Eğitimin Devamı gelecekmi ?
Bu yorum 28.06.2018 tarihinde, saat 16:03:39'de gönderilmiştir.

Hasan Fatih ŞİMŞEK
Merhaba Kadir, eğitimin devamı için şu an bir planım yok. Şu an için sadece mevcut eğitimde takılan kişilere yardımcı olmayı düşünüyorum. Ancak sonraları vakit bulabilirsem tamamlayabilirim. Gerekli malzemem zaten mevcut. İyi çalışmalar.
Bu yorum 13.08.2018 tarihinde, saat 11:31:41'de gönderilmiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama
	->	Siber Güvenlikte Düşük Seviye Açıklık Nedir
	->	Haberleşme Teknolojisi
	->	Oyun Motoru Nedir
	->	Arp Spoofing İlave Uygulamalar

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak () ► Şubat () ► Mart () ► Nisan () ► Mayıs () ► Haziran () ► Temmuz () ► Ağustos () ► Eylül () ► Ekim () ► Kasım () ► Aralık () ▼ 2024

#Giriş

	ID	:
	Şifre	: