Giriş

Her gün milyarlarca insanın kullandığı web uygulamaları, arka planda karmaşık sistemler ve kodlarla çalışıyor. Fakat bu sistemler ne kadar güçlü olursa olsun, güvenlik açıkları bir kez içeri sızarsa, tüm yapı bir anda tehdit altında olabilir. Bu yazıda, web güvenliğinin en yaygın ve en tehlikeli açıklarından biri olan XSS (Cross-Site Scripting) saldırılarını mercek altına alacağız.

XSS Nedir?

XSS, saldırganların web sitelerine kötü niyetli JavaScript kodları enjekte ederek, bu kodları ziyaretçilerin tarayıcılarında çalıştırmasına olanak tanıyan bir güvenlik açığıdır.

Basit bir örnekle anlatmak gerekirse, bir yorum alanına şu satırı yazan biri:

<script>alert('Saldırı Başladı!');</script>

eğer bu içerik filtrelenmeden doğrudan web sayfasına yerleştirilirse, ziyaret eden herkesin tarayıcısında bu kod çalışır. Düşünün: bu sadece bir “uyarı kutusu” değil, oturum çalan, veri gönderen, sahte formlar açan bir kod parçası da olabilir.

Türleri Nelerdir?

• Stored XSS (Depolanmış): Zararlı kod veritabanına kaydedilir ve her ziyaretçiye gösterilir.


• Reflected XSS (Yansıtılmış): Zararlı kod genellikle URL üzerinden gönderilir ve anında sayfaya yansıtılır.


• DOM-Based XSS: JavaScript ile dinamik oluşturulan sayfalarda, istemci taraflı açıklar kullanılır.

XSS Neden Tehlikelidir?

• Kullanıcının oturum bilgilerini çalabilir (örneğin çerezler).


• Kullanıcının hesabı adına işlem yapabilir (örneğin banka sitesinde para transferi).


• Zararlı yazılımlar yüklenebilir.


• Web sitesinin itibarı zedelenir; kullanıcıların güveni sarsılır.

XSS'ten Nasıl Korunuruz?

PHP ve benzeri sunucu taraflı diller kullanılarak XSS'e karşı çeşitli koruma yöntemleri uygulanabilir.

1. Kullanıcı Girdilerini Doğrudan Göstermeyin

htmlspecialchars($veri, ENT_QUOTES, 'UTF-8');

2. JavaScript İçine Değer Gömüyorsanız

var username = <?= json_encode($veri) ?>;

3. Güvenlik Başlıkları Ekleyin

header("Content-Security-Policy: default-src 'self'; script-src 'self';");

4. Güvenli Framework’ler Kullanın

Laravel, Symfony, Django gibi modern framework’ler XSS’e karşı yerleşik koruma sağlar.

Özet

Güvenlik Önlemi	Açıklama
htmlspecialchars()	HTML'e veri basarken kullanılır
json_encode()	JavaScript içinde veri kullanırken
Güvenli form işleme	Girdi doğrulama ve temizleme
HTTP güvenlik başlıkları	Tarayıcıya güvenlik talimatları verir
Content Security Policy (CSP)	Hangi içeriklerin çalıştırılacağını sınırlar

Sonuç

XSS, küçük bir ihmalle büyük zararlar verebilecek bir saldırı türüdür. Web geliştiricileri için güvenlik, sadece “işi çalıştırmak” değil, aynı zamanda “doğru ve güvenli çalıştırmak” anlamına gelmelidir. Geliştirdiğiniz her satır kod, sadece fonksiyonu değil, aynı zamanda güvenliği de taşımalı.

Unutmayın: bir hacker'ın sisteme girmesi için bir açık yeterlidir; savunma içinse her detayı düşünmek gerekir.

Güvenli kodlar, güvenli siteler doğurur.

Kodunuz sadece işlevsel değil, güvenli olsun. Web'i hep birlikte daha sağlam inşa edelim.