• Ad-Jacking – Bir web sitesinde XSS varsa, reklamlarınızı yayınlayarak para kazanılabilir.
  • Click-Jacking – Sayfada tıklandığında çalışacak kötü niyetli arayüzler oluşturabilirsiniz..
  • Session Hijacking – Çerezlerde HTTP ONLY bayrağı bulunmuyorsa, HTTP çerezlerine JavaScript tarafından erişilebilir.
  • Content Spoofing – JavaScript, bir web uygulamasının müşteri tarafı koduna tam erişime sahiptir ve bu nedenle, istediğiniz içeriği göstermek / değiştirmek için kullanabilirsiniz.
  • Credential Harvesting – Kimlik bilgilerini almak için bir pencere kullanabilirsiniz. WiFi ürün yazılımı güncellendi, kimlik doğrulaması için kimlik bilgilerinizi tekrar girin.
  • Forced Downloads – Kötü niyetli indirme yapmasını sağlayabiliriniz.
  • Crypto Mining – Kurbanın CPU’sunu sizin için biraz bitcoin madeni yapmak için kullanabilirsiniz!
  • Bypassing CSRF protection – POST isteklerini JavaScript ile yapılabilir, JavaScript ile bir CSRF belirteci toplayabilir ve gönderebilirsiniz.
  • Keylogging – Kurban bilgisayarındaki tüm girişleri toplayabilirsiniz..
  • Ses Kaydetme – Kullanıcıdan yetki alınması gerekir, ancak kurbanın mikrofonuna erişirsiniz. HTML5 ve JavaScript sayesinde.
  • Fotoğraf çekme – Kullanıcıdan yetki alınması gerekir, ancak mağdurun web kamerasına erişirsiniz. HTML5 ve JavaScript sayesinde.
  • Coğrafi konum – Kullanıcıdan yetki gerektirir, ancak mağdurun Coğrafi konumuna erişirsiniz. HTML5 ve JavaScript sayesinde. GPS’li cihazlarla daha iyi çalışır.
  • HTML5 web depolama verilerini çalmak – HTML5 yeni bir özellik olan web depolama özelliğini tanıttı. Artık bir web sitesi daha sonra kullanmak üzere tarayıcıda veri depolayabilir ve tabii ki, JavaScript bu depolamaya window.localStorage () ve window.webStorage () aracılığıyla erişebilir.
  • Tarayıcı ve Sistem Parmak İzi – JavaScript, tarayıcınızın adını, sürümünü, yüklü eklentilerini ve sürümlerini, işletim sisteminizi, mimariyi, sistem zamanını, dili ve ekran çözünürlüğünü bulmanızı sağlar.
  • Ağ Taraması – Kurbanın tarayıcısı JavaScript’i kullanarak portları ve hostları taramak için kötüye kullanılabilir.
  • Tarayıcıların Çökmesi -stuff ile tıkayarak çökertebilirsiniz.
  • Bilgi Çalmak – Web sayfasından bilgi alın ve sunucunuza gönderin.
  • Yönlendirme – Kullanıcıları seçtiğiniz bir web sayfasına yönlendirmek için javascript kullanabilirsiniz.
  • Tab-napping – Yeniden yönlendirmenin yalnızca süslü bir sürümü. Örneğin, bir dakikadan uzun süre klavye ya da fare olayı alınmadıysa, kullanıcının afk olduğu ve geçerli web sayfasını gizli bir sahtekarlıkla değiştirebileceğiniz anlamına gelebilir.
  • Ekran Yakalama – Yine HTML5 sayesinde bir web sayfasının ekran görüntüsünü alabilirsiniz.
  • Eylemleri Gerçekleştirin – Tarayıcıyı kontrol ediyorsunuz, gücü hissedemiyor musunuz? 

https://somdev.me/21-things-xss/

Reklamlar