«

»

Haz 01

Csrf Nedir ?

Csrf Nedir ?

Csrf Nedir ?

CSRF, açılımı Cross Site Reference Forgery olan, günümüzde; kodlayıcının, kodlama bilgisi yetersizliğinden kaynaklanan bir güvenlik zafiyetidir. Cross-Site Request Forgery (Csrf – Xsrf – Cross Site Reference Forgery Olarakta
Bilinir) Günümüzde, kodlama bilgisizliğinden kaynaklanan yaygın bir güvenlik zafiyetidir.
Site yetkilisinin haberi olmaksızın güvenlik açığını istismar ederek çalışır. Saldırganın herhangi bir web sayfasına yerleştirdiği Js veya Html kodlarıyla yetkilinin oturum bilgilerini çalma olayıdır.

Csrf ile Neler Yapılabilir?


Yetkilinin oturum bilgilerini kurnaz bir biçimde ele geçirdikten sonra korsan, kurbanı tamamen sistemden saf dışı ederek sisteme dahil olur ve kontrol mekanizmasını elinde tutar. Örneğin, sistem içerisinde bir banka sitesi barındırıyorsa ve csrf zafiyeti kullanılarak banka yetkilisinin bilgileri alınmış ise, pek çok kötü şey yapılabilir. Yahut sistem önemsiz bir yer de olsa, bilgilerin çalınması ve kurbanın saf dışı bırakılması burada önemli bir kaidedir.

Nasıl Gerçekleştirilir?

Daha önceden de belirtildiği üzere, bu zafiyet korsanın gerçekleştirdiği işlemler sonucunda aktif olur ve sisteme tekrar giriş sağlayıp başarısız oluncaya dek sistem kurbanının bu durumdan haberi olmaz. Nasıl gerçekleştiği konusu işin biraz çetrefilli, biraz da öğrenmeniz gereken konusudur. Bilinçli olduğunuz vakit bu tür saldırıların önüne kolayca geçebilmeniz mümkündür.

Cross Site Scripting ve Cross Site Request Forgery Aynı Şey midir ?

Elbette, değildir. XSS, yani Cross Site Scripting‘de yetkiliyle ilgilenilmez, yani bire bir herhangi bir hedef yoktur. Sistemdeki zafiyet, bire bir herhangi birini oltaya getirmeye gerek kalmaksızın sömürülebilir. Ancak CSRF zafiyetinde bire bir, sistemde yetkili bir hedef bulmak gereklidir. CSRF, kurbanın uyanık olacağı, korsanın ise kurnaz olacağı yahut olması gerektiği bir yöntemdir ve iki tarafın da belli başlı ön hazırlıklar yapmasını gerektirir. XSS’de ise, söylediğimiz gibi tamamen sistemdeki zafiyeti herhangi bir kaynak bulmaksızın, yararlanılabilir.

CSRF zafiyetinden Korunma Yöntemleri

1. Post Modülü Kullanma
Günümüzde belli başlı küçük sistemlerde işe yarasa da, yine de küçük sistemler için hayat kurtarıcı bir methoddur. Saldırgan “get” modülü yerine “post” modülü kullanıldığında tarayıcı üzerinde şifrenin değiştiğini göremeyince işin başarısız olduğunu zannedebilir. Ancak bu sadece yeni yetme saldırganlar için geçerlidir ve derine inen pek çok uzman saldırgan da vardır. Bu gibi durumlarda post methodu yetersiz kalır ve yeni şeyler aramak zorunda kalırsınız.
 2. Captcha Kullanımı
Captcha kullanımı sadece korsandan değil aynı zamanda bot ve zararlı yazılımlardan da sisteminizi koruyan bir yöntemdir ve bu tür durumlarda kullanılması önemlidir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>