Cross site scripting
Cross site scripting (XSS), bilgisayar güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.
Tarihçe
Netscape, JavaScript dilinin tarayıcılarında çalıştırılabileceğini duyurduğunda web sunucusu tarafından gönderilen ve istemcide çalıştrılabilen kodların güvenlik riskleri yaratabileceğini göstermiş oluyordu. Örneğin, bir sayfadan çalıştırılan betik diğer bir sayfaya ulaşabilecekti. Kötü niyetli bir web sitesinin bu yolla diğer sitelerin bilgilerini çalması üzerine bu ayrıcalık kısıtlanmış ve söz konusu betiklerin yalnızca aynı alan adı üzerinde kullanılmasına karar verilmiştir.
O zamandan bu yana, kötü niyetli sitelerden korunmak için küçük erişim kontrolü tedbirleri geliştirildi. Genelde cross site scripting açıkları, saldırganın sistemi deneme-yanılma yaparak bulması ile ortaya çıkmaktadır. Açığın bulunması ile saldırgan, başka bir alan adından, açığın bulunduğu alan adı ve sayfanın bilgilerini, oturum ayrıntılarını ve diğer nesne değerlerini çalabilmektedir.
Dış bağlantılar
- CERT® Advisory CA-2000-02: Malicious HTML Tags Embedded in Client Web Requests (İngilizce)
- Apache Yazılım Vakfı Cross Site Scripting Bilgileri (İngilizce)