You are here : / / Cross Site Request Forgery Nedir ?

5 Ocak 2025 Pazar

Cross Site Request Forgery Nedir ?



Cross Site Request Forgery (CSRF), Türkçe'de "Siteler Arası İstek Sahteciliği" olarak bilinir, bir kullanıcının tarayıcısını kullanarak onun izni veya haberi olmadan bir web uygulamasına kötü niyetli istek gönderilmesini sağlayan bir güvenlik açığıdır.

CSRF'nin Temel Çalışma Prensibi

  1. Hedef Kullanıcı: Hedeflenen kullanıcı, daha önce bir web sitesinde oturum açmış ve bu siteye kimlik doğrulama (ör. çerezler) kullanarak bağlıdır.
  2. Saldırganın Planı: Saldırgan, kullanıcının tarayıcısını kullanarak kötü niyetli bir isteği hedef siteye gönderir.
  3. Kötü Amaçlı İstek: Kullanıcı kötü amaçlı bir bağlantıya tıkladığında veya saldırganın hazırladığı bir sayfayı ziyaret ettiğinde, arka planda kullanıcının oturum bilgileriyle hedef siteye istek gönderilir.
  4. Hedef Sitede İşlem: Hedef site, isteğin saldırgan tarafından mı yoksa kullanıcının kendisi tarafından mı gönderildiğini ayırt edemez ve isteği gerçekleştirir.

Örnek Senaryo

  • Hedef Site: Banka web sitesi.
  • Durum: Kullanıcı, banka sitesine giriş yapmış ve oturumu aktiftir.
  • Saldırı: Saldırgan, kullanıcıya kötü amaçlı bir e-posta gönderir. E-postadaki bağlantı, kullanıcının banka hesabından başka bir hesaba para transfer etme isteği içerir:
    html
    <img src="https://bankasitesi.com/transfer?hesapNo=123456&amount=10000" />
    Kullanıcı bu e-postayı açtığında veya bağlantıya tıkladığında, tarayıcı otomatik olarak bu isteği gönderir ve oturum bilgilerini (çerezler) kullanır.

CSRF Saldırılarının Önlenmesi

  1. CSRF Token Kullanımı:

    • Her hassas işlem için rastgele bir token oluşturulur.
    • Bu token, sunucu tarafından doğrulanır. Eğer token geçersizse, işlem reddedilir.

  2. HTTP Referer veya Origin Kontrolü:

    • Sunucu, isteğin geldiği kaynağı kontrol eder. İstek yetkisiz bir kaynaktan geliyorsa reddedilir.

  3. SameSite Çerez Politikası:

    • Çerezlere SameSite özelliği eklenerek, çerezlerin sadece aynı kaynaktan gelen isteklerde gönderilmesi sağlanabilir.

  4. Doğrulama ve Ekstra Güvenlik:

    • Oturum sırasında kritik işlemler için ek doğrulama yöntemleri kullanılabilir (ör. CAPTCHA veya 2FA).


 

Benzer Yayınlar

Cross Site Request Forgery Nedir ?
4/ 5
Oleh
Yorum

Abone Olun

Yazılarımızı beğeniyor musunuz?Abone Olun Yazılarımı Kaçırmayın.

Lütfen yorum yaparken şunlara dikkat ediniz:

Küfürlü, siyasi veya huzur bozucu yorumlar yapmamaya,
Reklam, spam gibi yorumlar yapmamaya.

Kaydol: Kayıt Yorumları (Atom)