You are here : / / Cross-Site Request Forgery Nedir ?

26 Ocak 2025 Pazar

Cross-Site Request Forgery Nedir ?


Cross-Site Request Forgery (CSRF), Türkçe'de Siteler Arası İstek Sahteciliği, bir saldırı türüdür ve web uygulamalarında yetkili bir kullanıcının bilgisi dışında isteklerin yapılmasını sağlar. CSRF saldırıları, bir kullanıcının oturum bilgilerini, yetkilerini veya kimliğini kullanarak kötü niyetli bir işlemi gerçekleştirmeye çalışır. Bu saldırılar genellikle kurbanın tarayıcısını hedef alır ve kullanıcının bir web sitesinde oturum açmış olması durumunda işler.

CSRF Nasıl Çalışır?

  1. Kurbanın Oturumunun Açık Olması: Saldırı yapılacak web sitesinde kurbanın bir oturumu açık durumdadır (örneğin, bir banka uygulamasında oturum açmış).
  2. Kötü Amaçlı Bir Bağlantı veya Form: Saldırgan, kurbanın oturum bilgisini kullanmak için kötü amaçlı bir bağlantı, form veya JavaScript kodu oluşturur.
  3. Kurbanın Bu İsteği Göndermesi: Kurban, saldırganın hazırladığı bağlantıya tıkladığında veya kötü amaçlı bir formu doldurduğunda, tarayıcı kullanıcı adına yetkili bir işlem yapar.
  4. İşlem Başarıyla Gerçekleşir: Çünkü tarayıcı, aynı siteden gelen isteklere otomatik olarak çerezleri ekler (örneğin, oturum bilgileri).

Örnek Senaryo

  • Bir kullanıcı bankasının web sitesinde oturum açmıştır.
  • Saldırgan, kullanıcıya e-posta ile kötü amaçlı bir bağlantı gönderir:
    css
    <img src="https://bankasitesi.com/para_transfer?hesap=12345&amount=1000" />
  • Kullanıcı bu bağlantıya tıkladığında, bankanın sunucusu isteği işler çünkü kullanıcının oturumu hala aktif ve çerezler otomatik olarak eklenmiştir.
  • Sonuç olarak, kurbanın bilgisi dışında saldırganın hesabına para transfer edilir.

CSRF'den Korunma Yöntemleri

  1. CSRF Token Kullanımı: Her bir işlem için benzersiz bir token (örneğin, csrf_token) oluşturulur. Bu token, form veya istekle birlikte gönderilir ve sunucu bu tokeni doğrular.
  2. Doğrulama Mekanizmaları: Kritik işlemler için kullanıcıdan ekstra doğrulama istenebilir (örneğin, şifre girme veya CAPTCHA).
  3. SameSite Çerez Özelliği: Çerezlerin yalnızca aynı siteden gelen isteklere dahil edilmesi sağlanır.
  4. CORS Politikalarının Kullanımı: Yalnızca izin verilen sitelerden gelen istekler işlenir.
  5. Karmaşık URL'ler ve Referer Doğrulama: Sunucu, isteğin geldiği referer başlığını kontrol edebilir.

CSRF saldırıları, özellikle kullanıcı verilerinin veya fonlarının bulunduğu uygulamalarda oldukça tehlikeli olabilir. Güvenlik için yukarıdaki yöntemlerin uygulanması önemlidir.


 

Benzer Yayınlar

Cross-Site Request Forgery Nedir ?
4/ 5
Oleh
Yorum

Abone Olun

Yazılarımızı beğeniyor musunuz?Abone Olun Yazılarımı Kaçırmayın.

Lütfen yorum yaparken şunlara dikkat ediniz:

Küfürlü, siyasi veya huzur bozucu yorumlar yapmamaya,
Reklam, spam gibi yorumlar yapmamaya.

Kaydol: Kayıt Yorumları (Atom)