html injection - top10

 

🏆 Tarihteki En Büyük 10 HTML Injection / XSS Tabanlı HTML Manipülasyon Vakası

1. MySpace – Samy Worm (2005)

  • Ne Oldu? Samy adında bir kullanıcı, MySpace profiline HTML/JavaScript enjekte ederek kendi profilini ziyaret edenlerin otomatik olarak arkadaş olması ve virüsün yayılmasıyla sonuçlandı.

  • Sonuç: 1 gün içinde 1 milyondan fazla kullanıcı etkilendi.

  • Not: HTML Injection ve Stored XSS kombinasyonu.

2. Yahoo! Mail HTML Injection (2006)

  • Ne Oldu? E-posta içeriği içine HTML/JS enjekte edilerek kullanıcıların e-posta hesapları çalındı.

  • Varlık: Web tabanlı mail istemcilerinin giriş verilerini korumadığı ortaya çıktı.

3. Facebook Notes HTML Injection (2006)

  • Ne Oldu? Facebook'un notlar özelliğine zararlı HTML enjekte edilerek kullanıcılara zararlı bağlantılar gösterildi.

  • Sonuç: Kötü amaçlı yönlendirmeler yapıldı.

4. eBay Ürün Sayfası HTML Injection (2007–2014)

  • Ne Oldu? Satıcılar ürün açıklamalarına <iframe> ve <script> kodları yerleştirerek kullanıcıları sahte ödeme sayfalarına yönlendirdiler.

  • Sonuç: Binlerce kullanıcı dolandırıldı.

5. Skype Web HTML Injection (2015)

  • Ne Oldu? Web sürümde gönderilen mesajlara zararlı HTML enjekte edilerek, kullanıcı arayüzü bozuldu ve bazı tarayıcılarda kilitlenmelere neden oldu.

  • Not: UI bazlı HTML Injection.

6. Tesla Bug Bounty (2014) – Stored HTML Injection

  • Ne Oldu? Güvenlik araştırmacısı, Tesla’nın yönetim paneline stored HTML enjekte ederek kontrol panelini bozdu.

  • Sonuç: $10,000 ödül ile ödüllendirildi.

7. Google Groups HTML Injection (2011)

  • Ne Oldu? Gruplarda gönderilen mesajlara HTML enjekte edilerek, kullanıcı arayüzü manipüle edildi.

  • Risk: Kullanıcıya sahte formlar gösterilebiliyordu.

8. Twitter Tweet Preview HTML Injection (2010)

  • Ne Oldu? Kullanıcılar tweet’lerine HTML etiketi benzeri semboller ekleyerek görüntüde bozulmalar ve tıklanabilir sahte bağlantılar oluşturdu.

  • Çözüm: Twitter içerik işleyicisini değiştirdi.

9. WordPress Plugin HTML Injection (2018)

  • Ne Oldu? Popüler bir form eklentisi (Contact Form 7) üzerinden HTML enjekte edilerek kullanıcıya sahte bildirimler ve formlar gösterildi.

  • Sonuç: 100.000’den fazla site risk altındaydı.

10. GitHub Issue Tracker HTML Injection (2020)

  • Ne Oldu? Bazı açık kaynak projelerin hata takip sistemine HTML enjekte edilerek, kullanıcılar sahte uyarılar veya form alanlarıyla yönlendirildi.

  • Geliştiriciler: HTML etiketlerini sanitize etmeye başladı.

🎯 Neden Hâlâ Bu Kadar Etkili?

  • Geliştiriciler hâlâ input filtering ve output encoding konularında yeterince dikkatli değil.

  • UI manipülasyonları yoluyla kullanıcıları kandırmak çok kolay.

  • Zararsız görünen HTML bile form çalma, görsel değiştirme gibi sosyal mühendisliğe açık kapılar bırakıyor.


Labels: |