BGA Bank HPF (HTTP Parameter Fragmentation) Yöntemi ile XSS İstismarı

Örnek URL
http://isube.bgabank.com/?sayfa=arama.php&s1=<img onerror=al&s2=ert(‘BGA’); src=”a”/>

Alınan önlemler, HPF (HTTP Parameter Fragmentation) olarak adlandırılan yöntemle atlatılabilmektedir. Bu yöntemde, arama işleminde yer alan, iki arama parametresi (s1 ve s2) üzerinden istismar edilir. Örnek URL ’de alert, s1 ve s2 parametreleri üzerinde bölünmüştür. (Şekil 1)

Şekil 1. HPP