Injecting JavaScript Code

tarih:


JavaScript Injecting, yüklenen web sayfalarına kötü amaçlı JavaScript kodlarının eklenmesiyle gerçekleşir. Bu kodlar, hedef tarayıcı tarafından yürütülür ve çeşitli amaçlarla kullanılabilir:

  • Bağlantıları değiştirmek: Saldırganlar, kullanıcıları zararlı web sitelerine yönlendirebilir.
  • Resimleri değiştirmek: Web sayfasındaki görselleri manipüle edebilir veya değiştirebilir.
  • HTML öğelerini eklemek: Sayfaya yeni, zararlı HTML öğeleri ekleyebilir.
  • Hedef tarayıcıyı istismar çerçevelerine bağlamak: Kullanıcıların tarayıcılarını güvenlik açıkları içeren çerçevelere yönlendirebilir.

Ve daha birçok kötü amaçlı işlem gerçekleştirebilir. Bu tür saldırıları önlemek için, kullanıcı girdilerini dikkatlice doğrulamak ve güvenli kodlama pratiklerini uygulamak önemlidir.

 

 

 

Uygulama: MITM yöntemiyle hedef kullanıcı ile gateway arasına geçerek javascript kod enjeksiyonu yapacağız.




İlk önce leafpad açarak bir javascript dosyası oluşturuyoruz.

 


Burada basit bir .js dosyası oluşturuyoruz. Bu sadece basit bir uyarı mesajı içeren javascript kod parçamız.

 

 


 

 

Oluşturduğumuz kodu farklı kaydet diyerek devam edelim.

 


Açılan pencerede hedef klasörümüze alert.js diyerek javascript dosyamızı kaydetmiş oluyoruz.

 


/bettercap/caplets/hstshijack ‘taki yer alan .cap dosyamızı düzenlemek için açalım.

 


Burada payloads kısmına az önce oluşturmuş olduğumuz alert.js belirtmek için */root/alert.js yazarak çalıştırmak istediğimiz js dosyamızı eklemiş oluyoruz. Eğer belirlediğiniz hedef alan adı varsa yıldızı kaldırıp onu ekleyebilirsiniz.

?Önceki saldırılarda kullandığımız keylogger.js payload dosyamızda hemen yanında yer alıyor.

 



 

Diğer makalelerimde yer alan spoof.cap adlı .cap uzantılı dosyasımızı kullanacağız. Burada çalıştırmak istediğimiz komut satırları hazır bir şekilde yer almakta. Bettercap ile cap dosyamızı çalıştırmamız yeterli olacaktır.




 

Burada ortadaki adam olarak hem code injection hemde sniffing saldırıları gibi farklı saldırı türlerini yapabilmekteyiz.

 


 

 

bettercap -iface eth0 -caplet  /root/spoof.cap “ komut satırı ile birlikte saldırıyı başlatıyoruz.

 

 





 

Hs+tab kısayol tuşuna basarak hstshijack/hstshijack caplet dosyamızı çalıştırıyoruz.

?caplets.show komutu ile diğer caplet dosyalarınızı görüntüleyebilirsiniz.

 

 

Burada payload dosyalarımızda gözükmekte şimdi test etmek için hedef kullanıcının makinesine geçelim.

 


Güncel işletim sistemi ve Chrome içeren test cihazında arp -a komutu ile makinemizin arp zehirlenmesi yaşadığını görmekteyiz.

 


 


Vulnweb.com yazarak ulaşmak istediğimde oluşturmuş olduğumuz payload çalışarak bize bir uyarı mesajı vermekte 😊

cyberons javascript test

 


Burada ise Google.ie uzantılı alan adına ulaştığımızda da karşımıza çıkmaktadır.

 

 


 

 

 

 

 

JavaScript Injection saldırılarına karşı alınabilecek siber güvenlik önlemleri şunlardır:

  1. Kullanıcı Girdilerini Doğrulama ve Temizleme: Kullanıcıdan alınan verilerin doğruluğunu kontrol etmek ve zararlı kodları temizlemek, saldırıların önlenmesinde kritik bir adımdır.
  2. Parametreli Sorgular Kullanımı: SQL Injection gibi saldırılara karşı etkili olan bu yöntem, JavaScript Injection riskini de azaltabilir.
  3. İçerik Güvenlik Politikaları (CSP): CSP, web sayfasında çalıştırılabilecek kaynakları sınırlandırarak zararlı kodların çalışmasını engeller.
  4. Kodlama Standartlarına Uyum: Güvenli kodlama standartlarını takip etmek, açıkların oluşmasını önler.
  5. Web Uygulama Güvenlik Duvarı (WAF): WAF, zararlı girişleri ve saldırıları filtreleyerek sisteminizi korur.
  6. Güncellemeler ve Yama Yönetimi: Yazılım ve sistemlerin düzenli olarak güncellenmesi, bilinen güvenlik açıklarının kapatılmasını sağlar.
  7. Loglama ve İzleme: Sistem aktivitelerini izlemek ve loglamak, saldırı girişimlerini erken tespit etmenize yardımcı olur.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

***Bu makalede açıklanan saldırı teknikleri, yalnızca siber güvenlik uzmanlarının ve etik hacker'ların yetkili oldukları sistemlerde güvenlik testleri yapmaları amacıyla sunulmuştur. Bu tekniklerin yetkisiz kullanımı, ciddi yasal sonuçlar doğurabilir. Herhangi bir sisteme yetkisiz erişim sağlamak, ilgili yasa ve yönetmeliklere aykırıdır. Bu nedenle, bu bilgileri kullanmadan önce gerekli yasal izinleri aldığınızdan emin olun. Yazar, bu bilgilerin yasa dışı veya etik olmayan amaçlarla kullanılmasından dolayı sorumluluk kabul etmemektedir.

 

Katkılarınız ve sorularınız için:

 https://www.linkedin.com/in/mustafa-korkmaz33/ https://www.mustafakorkmaz.tr