LYK — Web Uygulama Güvenliği ve Güvenli Kod Geliştirme (7.gün)

Hatice Ergün
Jul 28, 2017 · 1 min read

Bir önceki yazı için tıklayın.

CSRF(Cross-site Request Forgery)

CSRF, siteler arası istek sahteciliğidir. Bu zafiyet türünü bir senaryo ile açıklayalım.
Saldırgan kendi sitesinden kurbanın sitesinde işlem yaptırmak istiyor olsun. Kurban kendi sitesinde oturum açtıktan sonra saldırganın sitesine bir şekilde sosyal mühendislik ile istek yaptığını düşünelim. Saldırganın sitesinde,
<img src="http://kurbaninsitesi.com/sil.php?id=5"> şeklinde bir kod var. Kurban saldırganın sitesine girdiği zaman saldırganın sitesi bu adrese ulaşmak için istek yapacaktır. Kurbanın sitesinde oturum açık olduğu için, bu istek kurbanın sitesine ulaşır. Burada kurbanın sitesi CORS politikasına göre cevap vermez ama sonuçta bu istek yapılmıştır ve kurbanın sitesi bu işlemi yerine getirmiştir. En basit haliyle CSRF saldırıları bu şekilde yapılır.

CSRF Saldırılarından Nasıl Korunabiliriz?

Siteye yapılan istek doğrudan mı yoksa dolaylı olarak mı yapılıyor bunun kontrol edilmesi gerekiyor. Bu kontrolü csrf-token ile sağlıyoruz. Token her request yapıldığında değişir. Formdan gelen token ile sessiondan gelen token aynı mı kontrol edilmelidir. Yazılımcı form içerisinde input ile random olarak bir değer vererek token kontrolü yapabilir.

Bir sonraki yazı için tıklayın.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade