ServerErr0r
uid=0(root)
- Katılım
- 12 Eyl 2009
- Mesajlar
- 2,330
- Reaction score
- 0
- Puanları
- 0
XSRF - CSRF (Cross-Site Request Forgery)
XSRF – CSRF günümüzün en yaygın ve en kullanışlı Web App. Security açığıdır.XSRF- CSRF İçinde XSS Bulunduran ve XSS alanında görülen bir güvenlik açığıdır. Kullanıcı parametresi kullanarak güven sağlamış gibi tehlike arz etmektedir.Bu uygulama ile “Banka Şifreleri, Para transfer uygulamaları,Mail Şifreleri …” gibi bir çok legal kullanımlar tehlike altındadır.
XSRF kullanım saldırganları kullanıcının kayıtlı bilgilerini kendi ellerindeki bir istemci tarafından kullanıcıya tıklattırarak değiştirebilirler.Bu durumda kullanıcı Online yani giriş yapmış olmalıdır.XSS kullanıcı bilgilerini kendi tarafına javascript kodlarıyla çekmek amaçlıdır fakat XSRF kullanıcının bilgileri kendi tarafından değiştirmek amaçlıdır.Gönderilen tek bir link ile bunu sağlamak mümkündür.
XSRF Exploiting:
XSRF ile saldırı yapabilmek için saldırganın yardımcı bir sistem kullanması gerekmektedir.Bu yardımcı sistem kullanılan ve bilgilerin alınması için gerekli Web sayfası olabilir.Saldırgan web sayfasındaki XSRF açığı oluşturan alanı kendine göre düzenleyip size farklı bir link ile sunabilir bilgilerinizi değiştirip kendi giriş yapabilir.
http://www.site.com/password.php
Kullanıcı üstteki linkte giriş yaptığı alanda şifrelerini değiştirebilir olsun.
http://www.site.com/password.php?pass=bugres
Şifre değişiminden sonra linkteki gibi bir URL uygulaması görüntüleniyor.
Böyle bir uygulama içerisinde Post ve Get Metotları kullanarak kullanıcının şifreleri sadece bir link ile değiştirilebilir.
<b0dy onLoad="Submit();">
<script>function Submit[]{document.BraveHeart.submit();}</script>
<form action=”/password.php” method="post">
<input type="text" name="password" />
<input class="button" type="submit" name="submit" value="Onay" />
Sayfa içerisindeki kodlamaya göre böyle bir kodlamayı HTML yaparak veya <img> içerisinde yolladığınız bir linkte saklayarak kurbana yedirmeniz doğrultusunda şifre değişecektir.XSRF uygulamaları sadece kodlama ile değil URL üzerinde de etkilemektedir.
XSRF Korunma Yöntemleri:
· GET Metot’u yerine POST Metot’u kullanabilirsiniz.
· Kullanıcı Parametresi veya Özel Bir sunucu isteyerek engelleyebilirsiniz.
· İstemci yönlendirmesi kullanabilirsiniz.
XSRF – CSRF günümüzün en yaygın ve en kullanışlı Web App. Security açığıdır.XSRF- CSRF İçinde XSS Bulunduran ve XSS alanında görülen bir güvenlik açığıdır. Kullanıcı parametresi kullanarak güven sağlamış gibi tehlike arz etmektedir.Bu uygulama ile “Banka Şifreleri, Para transfer uygulamaları,Mail Şifreleri …” gibi bir çok legal kullanımlar tehlike altındadır.
XSRF kullanım saldırganları kullanıcının kayıtlı bilgilerini kendi ellerindeki bir istemci tarafından kullanıcıya tıklattırarak değiştirebilirler.Bu durumda kullanıcı Online yani giriş yapmış olmalıdır.XSS kullanıcı bilgilerini kendi tarafına javascript kodlarıyla çekmek amaçlıdır fakat XSRF kullanıcının bilgileri kendi tarafından değiştirmek amaçlıdır.Gönderilen tek bir link ile bunu sağlamak mümkündür.
XSRF Exploiting:
XSRF ile saldırı yapabilmek için saldırganın yardımcı bir sistem kullanması gerekmektedir.Bu yardımcı sistem kullanılan ve bilgilerin alınması için gerekli Web sayfası olabilir.Saldırgan web sayfasındaki XSRF açığı oluşturan alanı kendine göre düzenleyip size farklı bir link ile sunabilir bilgilerinizi değiştirip kendi giriş yapabilir.
http://www.site.com/password.php
Kullanıcı üstteki linkte giriş yaptığı alanda şifrelerini değiştirebilir olsun.
http://www.site.com/password.php?pass=bugres
Şifre değişiminden sonra linkteki gibi bir URL uygulaması görüntüleniyor.
Böyle bir uygulama içerisinde Post ve Get Metotları kullanarak kullanıcının şifreleri sadece bir link ile değiştirilebilir.
<b0dy onLoad="Submit();">
<script>function Submit[]{document.BraveHeart.submit();}</script>
<form action=”/password.php” method="post">
<input type="text" name="password" />
<input class="button" type="submit" name="submit" value="Onay" />
Sayfa içerisindeki kodlamaya göre böyle bir kodlamayı HTML yaparak veya <img> içerisinde yolladığınız bir linkte saklayarak kurbana yedirmeniz doğrultusunda şifre değişecektir.XSRF uygulamaları sadece kodlama ile değil URL üzerinde de etkilemektedir.
XSRF Korunma Yöntemleri:
· GET Metot’u yerine POST Metot’u kullanabilirsiniz.
· Kullanıcı Parametresi veya Özel Bir sunucu isteyerek engelleyebilirsiniz.
· İstemci yönlendirmesi kullanabilirsiniz.