CSRF Saldırıları | Sk3r0ot

S

sk3r0ot

Üye
21 Eyl 2012
53
0

Selamun Aleykum Arkadaslar Biraz CSRF Açığına Değinelim ..

Kod: 
if(!giris_yaptı()) {
    // Yönlendirme buraya
   exit;
}

 

? >
< form method="get" action="changepassword.php">
< input type="text" name="yenisifre" />
< input type="submit" name="submit" value="Submit" />
< /form >

Şifre değiştirme formları genelde böyle olur. Ama gördüğünüz gibi burada farklı bir sayfadan diğer sayfaya post get yaparak değiştiriyor passı.
Burada yenisifre yani yeni şifrenin yazılacağı kutu çok önemli.Bu kutuyu kullanarak saldırı yaparız.
www.siteadresi.com/changepassword.php?yenisifre=Sk3r0ot
Bu linki admin login olmuşken tıklatırsak şifreyi değiştirmiş oluruz.

Nasıl Korunuruz?

HTML kodlarını sitede engellemeniz işe yarıyacaktır forum gibi yerlerde.Onun
dışında en kesin yöntem size gelen linkleri açmadan gelen sayfanın HTML kodlarına
bakmanız zaten ters bişey varsa anlarsınız. Bu şekilde bir güvenlik yapmak işinize
yarıyacaktır çünkü xss de aynı mantıkla çalışıyor.

// Selametle //
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.