Self-XSS nedir?

alattin (17127) 8 yıl önce sordu

Self-XSS nedir? 

Self-XSS nasıl yapılır?

Self-XSS saldırılarından nasıl korunurum?

Toplam 1 cevap


alattin (17127) 8 yıl önce cevapladı

Self-XSS nedir? 

Self-XSS, bir sosyal mühendislik saldırı türüdür. Self-XSS, saldırı yönteminde saldırıya uğrayan kullanıcı, zararlı kodu başka bir amaca hizmet ettiğini düşünerek kendisi çalıştırır. Self-XSS saldırı yöntemi ile web hesapları ele geçirilebilir.

Facebook hesapları bunların en başında gelir. 

Örnek bir Self-XSS saldırısı şu şekilde gerçekleşir.

Kurban, farklı bir amaca hizmet ettiğine inandığı kodu web veya başka bir ortamda bulur.Bu farklı amaç, bir  başkasının Facebook hesabını ele geçirme, Facebook profiline bakanları görme, takipçi sayısını arttırma gibi bir adla internet ortamında yayılıyor olabilir.

Örneğin kurban, başkasını Facebook hesabını çalmak için kopyaladığı kodu tarayıcının (Chrome,Firefox, Edge vb) Web Developer Console (Web geliştirme konsolu) bölümüne yapıştırır ve çalıştırır.

Kurbanın bilmediği, bu kod bloğunun kendi kişisel verileri üzerinde çalışıyor olduğu ve kendi bilgisayarında olan bazı verilerin bu kod vasıtası ile başkasına ulaşacağıdır.

Başkasının Facebook hesabını çalmak için yapılan bu girişim sonucunda kurban kendi Facebook hesabının çalınmasına sebep olur.

Yine bazı kod blokları kurbanın kendi Facebook zaman tünelinde otomatik paylaşımlarda bulunur ya da kurbanın bazı sayfaları otomatik beğenmesine sebep olur.

Self-XSS saldırılarından nasıl korunurum?

Kesinlikle internet ortamında bazı sitelerde bulunan Facebook hesap çalma, profilime bakanları görme gibi scriptleri kopyalayıp kendi bilgisayarınızda çalıştırmayın.

Yine bu tür işlemler yaptığını iddia edilen programları indirmeyin ve çalıştırmayın.

Son dönemlerde Facebook Geliştirici konsolunda uyarı vermeye başladı.

Facebook üzerinden Geliştirici konsoluna girdiğinizde karşınıza

Dur!
Bu, geliştiriciler için tasarlanmış bir tarayıcı özelliğidir.  Biri sana bir Facebook özelliğini etkinleştirmek veya birinin hesabını ele geçirmek için bir şeyi kopyalayıp buraya  yapıştırmanı söylediyse, bu bir dolandırıcılıktır ve bunu yapmanı söyleyen kişi sen bunu yaptığında senin Facebook hesabına erişebilecektir.

şeklinde uyarı çıkararak kullanıcıları bu yönde uyarıyor.