HTML İnjection Nedir?

HTML İnjection Nedir?






Evet sevgili dostum bu gün sana en kolay şekilde HTML İnjection nedir bunu anlatamaya çalışacağım umarım yararlı olur.


HTML İnjection bir web güvenlik zafiyetidir.

Uygulamaların kodları üzerinde bulunan bazı eksiklikler sonucunda ortaya çıkan bir açık türüdür



HTML injection açığı neden kaynaklanabilir şu şekilde sıralayalım:

- Web yazılımlarında developerların dikkatsizliği yüzünden kaynaklanabilir

- Kullanıcıların giriş alanlarında bazı karakterler kullanmasını engellenmemesi sonucunda ortaya çıkabilir

- Kullanılan eklentiler üzerinde bulunan açıklar

- Sitenin PHP sürümü ve dolayısıyla da eski sürümlerinde bulunabilen açıklar

- Form alanlarında(input) alanlarında yetersiz önlemler



Örnekle açıklamak gerekirse bir web sitesinde attacker bir yorum yapıyor. Yorum içerisinde html kodları içeren içerikler bulunuyor.

Örnek HTML kodu: 

<meta http-equiv="refresh" content="5;URL=http://www.yonlendirileceksite.com">


Bu yorumdaki veri direkt veritabanına gidiyor ise, ziyaretçiler direk www.yonlendirileceksite.com  sayfasına yönlendirilecektir.


HTML İnjection 2 şekildedir bunlar şu şekildedir:

Yansıtılmış(Reflected)

Yansıtılmış html açığı sadece 1 kişiyi etkileyen cinstedir. Yansıtılmış html injectionda veritabanına bir veri akışı söz konusu değildir. 



Depolanmış(Stored)

Depolanmış html injection yansıtılmış html injection'a göre daha dikkat edilmesi gerekir ve site için tehlikeli bir html injection türüdür. Depolanmış html injection'da yapılan attack tüm kullanıcılar tarafından gözükmektedir üstte verdiğimiz örnek gibi. Depolamış html injection yapılıdığı zaman girilen veriler direk veri tabanına aktırılır.





Umarım yararlı olmuştur sana en sade bir şekilde anlatmaya çalıştım okuduğun için teşekürlerimi en derin duyguların ile sunuyorum.




Yorum Gönder

0 Yorumlar