💉 XSS Vectors Cheat Sheet: Web Zafiyet Test Rehberi

XSS Vectors Cheat Sheet, web uygulamalarındaki Cross-Site Scripting (XSS) zafiyetlerini tespit etmek, filtreleri atlatmak (bypass) ve sızma testlerini derinleştirmek için kullanılan kapsamlı bir payload (zararlı kod parçacığı) ve vektör arşividir.

Özellikle Bug Bounty avcıları, sızma testi uzmanları ve web güvenlik araştırmacıları için bir "kopya kağıdı" niteliği taşıyan bu Gist, temel testlerden karmaşık WAF (Web Application Firewall) atlatma tekniklerine kadar geniş bir yelpaze sunar.

✨ İçerikte Neler Var?

• 🔍 Temel XSS Payloadları: Hızlı zafiyet tespiti için alert(), prompt() veya confirm() tetikleyen standart betikler.
• 🛡️ Filtre/WAF Atlatma (Bypass): Web filtrelerini ve güvenlik duvarlarını aşmak için özel olarak kodlanmış (encoding) veya karmaşıklaştırılmış (obfuscated) vektörler.
• 📦 Farklı Bağlamlar (Contexts): Sadece <script> etiketleri için değil; HTML nitelikleri (attributes), SVG görselleri, iframe'ler ve olay yöneticileri (event handlers - örn: onload, onerror) üzerinden tetiklenen saldırı vektörleri.
• 🔗 URI Şemaları: javascript:, data: gibi farklı protokoller üzerinden XSS tetikleme yöntemleri.

🚀 Nasıl Kullanılır?

Bu arşiv, web uygulamalarının girdi alanlarında (arama kutuları, yorum formları, URL parametreleri vb.) deneme yanılma (fuzzing) yapmak için kullanılır.

1. Test ettiğiniz sistemdeki potansiyel girdi noktasını belirleyin.
2. Arşivden, hedefin filtreleme yapısına en uygun olabilecek vektörü kopyalayın.
3. Payload'ı hedefe enjekte edin ve tarayıcıda çalışıp çalışmadığını (yansımalı veya depolanmış XSS) gözlemleyin.
4. Başarısız olursa, farklı encoding tekniklerine sahip alternatif vektörleri deneyin.

⚠️ Yasal Uyarı

Bu listedeki XSS payloadları, yalnızca yetkiniz olan sistemlerde güvenlik açığı taraması yapmak, savunma mekanizmaları geliştirmek ve eğitim amacıyla kullanılmalıdır. İzinsiz web sitelerine XSS enjekte etmek yasa dışıdır.

---

Kaynak ve Arşiv: kurobeats/XSS Vectors Cheat Sheet (Gist)