HTML Injection Zafiyetini Kullanarak Saldırı Yapma
Aşağıdaki işlem adımlarına göre hedefteki bir sosyal paylaşım web sitesinin HTML açıklarıyla
kullanıcı verilerini elde ediniz.
1. Adım: Hedef sitede veri girişi yapılan alanlara HTML kodları girerek, açık olup olmadığını deneyiniz.
2. Adım: Hedef sitede veri girişi yapılan alanlara girilen kodların çalışıp çalışmadığını test ediniz. Kodlar çalışıyorsa açık var demektir. İşleme devam ediniz.
3. Adım: Sosyal paylaşım web sitesinde HTML injection zafiyetini tespit ediniz. Bu açığı
kullanarak, siteye girecek kullanıcı bilgilerini ele geçirme amaçlı bir metin gönderip (VIP üyelik
hakkı kazandınız.) Kullanıcıların metindeki adrese giriş yapmasını sağlayınız (Görsel 10.12).
Örnek HTML Kodu : <h1><mark>KAZANDINIZ!!!</mark>VIP Üyelik Hakkı Kazandınız. Üyeliğinizi ücretsiz VIP seçeneğine yükseltmek için TIKLAYINIZ</h1><a href=”https://fake-sitemiz.com”>TIKLAYINIZ</a>
4. Adım: Siteye giriş yapan kişileri hazırladığınız sahte siteye yönlendirerek kişilerin bilgilerini girmesini isteyiniz ve verileri ele geçiriniz. Bu noktada saldırganın uygulayacağı sosyal
mühendislik yöntemleri inanırlığını artırarak verilerin ele geçirilmesini sağlar.
Aşağıdaki işlem adımlarına göre hedefteki bir sosyal paylaşım web sitesinin HTML açıklarıyla
kullanıcı verilerini elde ediniz.
1. Adım: Hedef sitede veri girişi yapılan alanlara HTML kodları girerek, açık olup olmadığını deneyiniz.
2. Adım: Hedef sitede veri girişi yapılan alanlara girilen kodların çalışıp çalışmadığını test ediniz. Kodlar çalışıyorsa açık var demektir. İşleme devam ediniz.
3. Adım: Sosyal paylaşım web sitesinde HTML injection zafiyetini tespit ediniz. Bu açığı
kullanarak, siteye girecek kullanıcı bilgilerini ele geçirme amaçlı bir metin gönderip (VIP üyelik
hakkı kazandınız.) Kullanıcıların metindeki adrese giriş yapmasını sağlayınız (Görsel 10.12).
Örnek HTML Kodu : <h1><mark>KAZANDINIZ!!!</mark>VIP Üyelik Hakkı Kazandınız. Üyeliğinizi ücretsiz VIP seçeneğine yükseltmek için TIKLAYINIZ</h1><a href=”https://fake-sitemiz.com”>TIKLAYINIZ</a>
4. Adım: Siteye giriş yapan kişileri hazırladığınız sahte siteye yönlendirerek kişilerin bilgilerini girmesini isteyiniz ve verileri ele geçiriniz. Bu noktada saldırganın uygulayacağı sosyal
mühendislik yöntemleri inanırlığını artırarak verilerin ele geçirilmesini sağlar.
