Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5
CSRF Anlamı ve CSRF Açıklarından Yararlanma
#1
CSRF: "Cross Site Request Forgering" yani "Sitelerarasi İstek Sahteciligi" anlamina gelir.

CSRF dedigimiz acik turu, kurbanin haberi olmadan sadece ve sadece bizim verecegimiz linke tiklamasiyla elde edecegimiz bilgiler toplulugudur.

# Peki Bu Aciklari Nasil Buluruz? #

* Usenmem diyenler icin; manuel olarak
* Usenirim diyenler icin ise; Web Vulnerability Scanner vb. programlari tavsiye eder. Yapmanizi oneririm.

# Guvenli Olmayan Kod Yazimi ve Aciktan Faydalanma #

Bu acigin en buyuk zaafiyetlerin biri ise kodlamayi yapan gelistiricilerin gelistirme asamasinda, istemci tarafindan gelen her istegin reel kullanici tarafindan geldigini dusunmesinde yatiyor.

php ile kodlanmis ornek bir alisveris sitesi veriyorum. Hem kolay hem de anlamaniz icin basit bir ornek.

"ÖRNEKSITE.com''

Simdi, siz bu siteye giriyor, geziniyor, begeniyor ve uye oluyorsunuz. Ve haliyle alisveris yapiyorsunuz.

Alisveris sirasinda, begendiginiz siparisi sepete eklersiniz ama sonradan vazgecip sepetten cikarirsiniz. Bunun icinde sepetten cikarabilmeniz icin bazi kodlar gerekir ve istemciden istek geldigini ve ne yapilmasi gerektigini sorsun.

Ornek;

<form action="admin.php" method="GET">

<input type="hidden" name="cmd" value"deleteall"/>

<input type="submit" value="delete"/>

</form>

Bunlari dikkatlice okuyun...

Yukarida kodlanan GET istegi ile sunucuya bizim sepetimizde istemedigimiz, silinmesini istedigimiz parametre gonderilir.

Sunucu, istegi aliyor, kullaniciyi dogruluyor ve reel kullaniciymis gibi sanip, istegi yerine getiriyor.

# Aciktan Nasil Faydalaniriz? #

Bu aciktan yararlanmak icin, sahte web sitesi hazirliyoruz ve hazirlamis oldugumuz bu web sitesine acigin buludugu alisveris sitesine istek yapmayi saglayan "<img>" etiketini koyuyoruz. Tum ayarlari 0 ( sifir ) yaptiktan sonra yaptigimiz etiketi gizliyoruz.

Ornek;

Bu bizim hazirlamis oldugumuz sahte web sitesi olsun...

"RASGELESITE/index.html

Etiketi ekleme kismi ise;

"<html>

...

<img src=ÖRNEKSİTE.com/admin?cmd=deleteall width=0 height=0

...

</html>


*CSRF acigi icin saldırı senaryosunu şu şekilde siralayabiliriz...

* Kurbanimiz hesabi ile ilgili alisveris sitesine kullanici hesabi ile giris yapiyor.

* Haliyle sitede gezinmeye başlıyor ve sepetine begendigi seyleri eklemeye basliyor.

* Bu sırada da hazirlamis oldugumuz sahte web sitesini aciyor.

* Bu sirada hazirlamis oldugumuz sayfada bulunan <img> etiketi ile kurbanimizin sepetindekilerini silmesi icin* istegini alışveriş sitesine gönderiliyor ve kurbanimizin sepeti boşalıyor. 

* Burada kurbanimizin oturum bilgileri, oturum bilgisi olarak istege eklendiginden dolayi da yetkilendirme ile ilgili bir problem ortaya cikmayacaktir ve silme islemi gerceklesip islem devam edecektir.

**** Tek ornek ile verdim ama calisma prensipleri aynidir. ****
www.deccal.org


Beğenenler: BYHAKLİRT

Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  CSRF Açığı Nedir? Nasıl Kullanılır? Dark-Capar 3 112 16-08-2016, Saat: 20:41
Son Yorum: ReqDeq
  CSRF/XSRF açığı bulma fargo 1 285 17-05-2015, Saat: 22:32
Son Yorum: hosume
  XSRF-CSRF Mentalistler 0 370 13-07-2014, Saat: 03:28
Son Yorum: Mentalistler
  XSRF-CSRF Açıkları anlatımı BordoHackeR 1 432 25-01-2014, Saat: 14:42
Son Yorum: archavin
  Csrf & Xsrf hacking archavin 2 736 03-11-2013, Saat: 02:59
Son Yorum: CoderTurk
Anahtar Kelimeler

CSRF Anlamı ve CSRF Açıklarından Yararlanma indir, CSRF Anlamı ve CSRF Açıklarından Yararlanma Videosu, CSRF Anlamı ve CSRF Açıklarından Yararlanma Online izle, CSRF Anlamı ve CSRF Açıklarından Yararlanma Bedava indir, CSRF Anlamı ve CSRF Açıklarından Yararlanma Yükle, CSRF Anlamı ve CSRF Açıklarından Yararlanma Hakkında, CSRF Anlamı ve CSRF Açıklarından Yararlanma Nedir, CSRF Anlamı ve CSRF Açıklarından Yararlanma Free indir, CSRF Anlamı ve CSRF Açıklarından Yararlanma Oyunu, CSRF Anlamı ve CSRF Açıklarından Yararlanma Download


1 Ziyaretçi