CSS Güvenlik Açıkları

https://drive.google.com/open?id=1BpgAz7F4Z8gYMbbxlvpLtKz0cj62Z-yN

Css kodları, HTML sayfaları üzerinde stil ve çeşitli görsel geliştirmeler sağlayan bir işaretleme dilidir. Günümüzde ise web sayfalarının çoğu bu işaretleme dilini güncel olarak kullanmaktadır. Fakat zamanla saldırganların web alanında yeni cepheler açmasıyla birlikte Css, tehdit yaratan bir işaretleme dil haline gelmeye başladı. Etkilerinin fazla olmamasıyla birlikte an itibariyle her sayfada nadiren görülmesi bu açıkları göz ardı edilebilir yapmaktadır. İleriki zamanlarda bu tip açıkların büyük çaplı veri hırsızlıklarına sebep olabilecek seviyeye gelmeden gerek son kullanıcılarla gerekse hizmet veren kuruluşlarca önlemler alınmalıdır.

I. GİRİŞ (INTRODUCTION)
Cascading Style Sheets (CSS), HTML sayfalarında ek olarak kullanılan bir işaretleme dilidir. Hazırlanan sayfalar üzerindeki her türlü etiket ve şablonlara stil vermek için kullanılır, en önemli özelliği ise esnek olmasıdır. Css kodları hazırlanan sayfalarda genelde iki şekilde kullanılır:

HTML sayfalarının içerisine tanımlanarak ve Sayfaya dışarıdan bağlantı kurarak.

Sayfanın hazırlık aşamalarında veya etiketlerinin arasına ya da HTML iskeletinin dışına tanımlanabilir. Sayfa içerisine bu tanımlamayı yapmak için etiketleri oluşturulur. Dışarıdan bir bağlantı kurulacaksa <link> etiketi kullanılarak yerel kaynaktan, ağ üzerinden veya internetten kodlara erişilebilir. Günümüz web sitelerinin büyük çoğunluğu bu işaretleme dilini güncel olarak kullanmaktadır.

Güvenlik açığı, “Yazılım açıkları, yetersiz fiziksel güvenlik ve zayıf tasarlanmış ağlar gibi eksikliklerle, sistemlerin veya sistem parçalarının verilebilecek zararlara karşı açık olma durumu.” (ÖZKAYA, SARICA, & DURMAZ, 2019, s. 35)

II. CSS AÇIKLARI(CSS VULNERABILITY)

Css zafiyetleri diğer zafiyetlere göre (xss, sql injection, broken authentication and session management vb.) çok daha az sayıda olmakla beraber fazla tehlikeli değillerdir. Yine de verinin korunması ve ilerisinde daha tehditkâr diğer açıkları tetikleyebileceği hususları göz önünde bulundurulmalı ve gerekli önlemler alınmalıdır.

İnternet üzerinde en çok nam yapmış css zafiyeti ise “EXFIL” dir. Bu açık ile saldırgan web sayfaları üzerinden veriler çalabilir veya sayfaların görünümü üzerinde çeşitli işlemler yapabilir(Css enjekte etmek gibi). Bu açık genellikle:

  • Yanlışlıkla eklenen DOM öğeleri
  • Ele geçirilmiş tarayıcı uzantıları
  • Kötü amaçlı üçüncü taraf bileşenleri
  • Reflected veya stored kod enjeksiyon kusurları

İle birlikte görülmekte ve çoğu saldırı senaryosu da bu açıklar üzerine kurulmaktadır. Bu zafiyete karşı alınabilecek önlemler şu şekilde sıralanabilir:

  • İçerik Güvenliği Politikasının oluşturulması
  • Hazır kod kullanımının azaltılması (mümkünse hazır kod kullanılmaması)
  • Web güvenlik uygulaması kullanmak
  • Son kullanıcıların tarayıcılarında bu açığa karşı geliştirilmiş eklentileri kullanması
  • Tarayıcınızın bu zafiyete karşı güvenli olup olmadığını bu sayfa üzerinden test ederek https://www.mike-gualtieri.com/css-exfilvulnerability-tester

Posts created 10

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Posts

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top