Merhaba !!!
Cross-Site Request Forgery‘i Türkçeye Siteler Arası İstek Sahteciliği olarak çevirebiliriz.
Kullanıcının doğrulanmış olan bir web uygulamasındaki hesabında istenmeyen eylemleri yürütmesine zorlayan bir saldırıdır. Kullanıcının farkında olmadan saldırganın istediği url’e istek yapmasıyla ortaya çıkan bir web uygulama zaafiyetidir
Saldırgan CSRF ile neler yapabilir ?
- Kullanıcının parolasını değiştirebilir.
- Kullanıcının oturum bilgilerini çalabilir.
- Kullanıcının e-posta bilgisini değiştirebilir.
Saldırganın neler yapabileceği tamamen hayal gücüyle ilgili bir konudur.
Parola değiştirme kısmıyla alakalı bir demo yapalım. Damn Vulnerable Web Application ( DVWA ) içinde bulunan CSRF ile ilgili kısma bakalım. Kısaca DVWA’yi anlatmak gerekirse yerel ağınız da web uygulama zaafiyetlerini deneyip sonuçlarını görebileceğiniz bir lab ortamı size sunmaktadır. 3 seviyesi bulunmakta ilk olarak başlangıç seviyesini inceleyelim. Anasayfası aşağıdaki ekran görüntüsündeki gibidir.
Biz burada CSRF ile ilgili deneme yapacağız. Örneğin kullanıcı kendi parolasını değiştirsin.
Kullanıcı parolasını değiştirdikten sonra url de parola gösterildiği için parolanın GET methoduyla gönderildiği anlaşılıyor. Burada GET methoduyla gönderilmesi çok büyük sıkıntılara yol açabilir. Örneğin saldırgan kendi parolasını değiştirirken bu url’i görür ve burada CSRF zaafiyeti olabileceğini düşünür. Saldırgan site yöneticisinin mailini önceden bulmuştur ve url’i alır site yöneticisine
http://10.40.196.72/dvwa/vulnerabilities/csrf/?password_new=Guvenlik.1234&password_conf=Guvenlik.1234&Change=Change#
bu url’in kısa linki oluşturulmuş halini gönderir. Site yöneticisi farkında olmadan bu url’e tıklar ve saldırganın yazdığı parolayı kendi parolası olarak değiştirmiş olur.
Site yöneticisi parolasını değiştirmek istemiyordu. Tamamen isteği dışında gerçekleşen bir olay. Sadece bir tane linke tıkladı ve gerisi oldu bitti.
Farklı bir method ise direkt parola değiştirme linki yerine bir web sayfası oluştururuz. Sayfanın içine parola değiştirme url’ini ekleriz. Site yöneticisine bu sitenin linkini tıklatabilirsek yine parolasını değiştirme şansımız olur.
Örneğin ridvankaplan.com sitesinin görünen kaynak kodunu aldım ve bir html dosyasına kaydettim. En aşağı kısmına bir tane resim oluşturdum ama bu resmin en ve boy değerlerini 0 olarak girersem siteye giren kişi göremez. Ama resimin içindeki link çalışır. Ekran görüntüsündeki html kodunun linkini site yöneticisi tıkladığında ön yüzde sadece bir site görecek ama parolası değişmiş olacak.
Bunun gibi birçok farklı yollar deneyebilriz. Önemli olan siteyi yazan kişinin bu tarz zaafiyet oluşturacak kodlar yazmaması.
Ayrıca asla güvenilir olduğuna emin olmadığınız bir e-postayı açmayın, her linke tıklamayın. Fark etmeden bilgilerinizi saldırganların eline vermiş olabilirsiniz.
İlk Yorumu Siz Yapın