TARİHTE BUGÜN

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

CSRF Hack Eğitimi - (Saldırı-Tespit-Korunma)

'GÖKBÖRÜ - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
08/2012
Nereden:
Belirsiz.
Mesajlar:
11.234
Konular:
1663
Teşekkür (Etti):
4495
Teşekkür (Aldı):
5020
Ticaret:
(0) %
03-05-2014 22:08
#1
CSRF Hack Eğitimi - (Saldırı-Tespit-Korunma)
Konu yeri yanlışsa özür dilerim.En mantıklı yer burası geldi.İyi forumlar dilerim....

CSRF Açığı Nerelerde Görülür ?

CSRF açığı bütün web sitelerinde görülebilir.

[COLOR="rgb(245, 222, 179)"]CSRF yi tanıyalım ; [/COLOR]

Günümüzde çoğu sitede bulunan "XSS" açığının bir farklı türüdür.CSRF yerine göre son derece tehlikeli ve sömürücü bir açık olabilir hatta öyledir.CSRF saldırıları kurbanın haberi olmadan yapılır.

CSRF Açığı Nerelerde Görülür ?

CSRF açığı bütün web sitelerinde görülebilir.

CSRF Açığının Bulunması , Kullanılması ve Exploiting > (Exploite dönüştürme)


CSRF saldırıları deminde dediğim gibi kurbanların haberi olmadan yapılır , buna çok basit bir örnek verelim ;

Herhangi bir sitede şifre değiştirme linki olsun , link ;
www.herhangibirsite.com/sifredegis.php

Kullanıcı şifresini değiştirdiği zaman ;
http://www.herhangibirsite.com/sifre...?sifrem=123456

Kullanıcının yeni şifresi 123456 olmuştur.


Bu olayı biraz daha açarsak ;

<Form Method="GET" Action="sifredegis.php">
<Input Type="Text" Name="sifrem" />
</Form>

* Sunucudan "GET" metoduyla bilgileri aldırmak için sifredegis.php yi çalıştırır.

* Form sifredegis.php sayfasındaki kodlara göre hareket eder ve verileri alır.

Yukarıdaki bilgilere göre sayfadan alınan sifrem TextBox undaki Variable sifredegis.php ye gönderilir ve sifre degisimi yapılır.


Exploiting (Exploit Haline Getirme)


Öncelikle bir web sayfanız olması gerekir ve bu web sayfanıza zararlı kodları yerleştiriceksiniz. örnek olarak ;
www.websayfan.com/saldırı.htm

Saldırı.htm dosyasının içeriği standard bir web sayfası fakat iframe kodu vardır. Kod ;

<iframe src ="http://herhangibirsite.com/sifredegis.php?sifrem=TurkHackteam.org">

Bu iframe kodu tabiki sizin form degerinizin arasında durmalı.

www.websayfan.com/saldırı.htm i mutlaka admine veya kurbana yedirmeniz gerekmektedir oda sizin sosyal mühendisliğinize kalmıştır.

Not : XSS olan bir sitede CSRF olması %90 ihtimaldir.

CSRF den Korunma Yöntemleri


GET methodu yerine "POST" methodu kullanılmalıdır.

Önemli Not : Get methodu yerine post kullanmak bazen tamamen yeterli olmayabilir.Fakat GET methoduna göre post methodu daha zor bir CSRF hack yöntemidir.

URL Rewrite

Form-tabanlı kimlik doprulama yaparken diğer bir opsiyon da cookie yerine URL rewrite (özellikle bu opsiyon uygulama sunucusu tarafından transparan olarak yapılabiliyorsa) kullanımıdır. Oturum tanımlayıcısını her URL’ye dahil edildiğinde, bu tanımlayıcı arka arkaya yapılan sayfa isteklerinde ayrıştırılıp oturum bilgisini tanımakta kullanılabilir. Fakat çoğu uygulamada bunun uygulanabilmesi büyük bir çalışma gerektirebilmektedir.

Yönlendirme

XSRF saldırılarını HTTP isteğinin yetkili bir kaynaktan gelip gelmediğini kontrol ederek ve yönlendirme kullanarak önleyebilirsiniz. Eğer Referer başlığı yoksa, veya işlemi gerçekleştirmesi gerekmeyen bir sayfa veya site içeriyorsa, yönlendirme kullanıcıyı başka bir sayfaya yönlendirerek ek işlem yapılmasını engelleyebilir.

<?php
if ($_SERVER[’HTTP_REFERER’] != ‘[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] )
{
header(”********: [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
exit;
}
?>

CAPTCHA

CAPTCHA implemente etmekde XSRF saldırılarını engelleyebilir. CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) basitçe kullanıcının karışık fakat okunabilir harf (veya harf rakam kombinasyonu) içeren resimde gösterilenleri girmesini gerektirir. Burdaki fikir bilgisayarın grafikte gizli olan kelimeyi bulamayacağı ve insanların kolaylıkla ayırtedebileceğidir. CAPTCHA kullanımı, kullanıcının spesifik işlemler öncesi resimdeki bilgiyi girmesi ile olur. İşleme devam için otomatik bir script’in yaratılması çok zor olsa da bunu aşma konusunda araştırmalar yapılıyor. Eğer bu metodu kullanmaya karar verirseniz güçlü bir CAPTCHA kullanın. Güçlü bir CAPTCHA inşa etmek zor olabilir. Ek olarak, resimlerin bilgisayar tarafından okunamadığına emin olmak için, geliştiricilerin, CAPTCHA’nın script seviyesinde atlatılamayacağına emin olması gerekir. Aynı CAPTCHA birden fazla mı kullanılıyor? uygulamanın tekrar-oynatma (replay) saldırısından etkilenmesine yol açarmı? Ya da CAPTCHA ya geçirilen düz yazı cevap web formunun bir parçasımı? Bunlar düşünülmesi gereken problemler.(Turkteam.org)

Not : Kullanıcıların Yapabileceği Bazı Yöntemlerde Vardır. Cookie’lerinizi Her Oturum Sonunda Temizleyiniz.


GET

Bir Login (Giriş) Sayfası Ele Alalım Kullanıcı Adı ve Şifreden Oluşsun.. GET Yöntemi Form’u Karşı Tarafa Gönderirken; Gönderilen Bilgiler Adres Satırında Açıkça Görüntülenir.. Örneğin Kullanıcı Adı Ve Şifrenizi Girdiğiniz Zaman Form’a Girdiğiniz Bilgiler Adres Satırında veya Kodlanmada Nereye Yönlendirilmişse Orada Görüntülenir.

POST

POST Yöntemi İse Form’u Karşı Tarafa Gönderirken Bilgiler Adres Satırında Görüntülenmez.

Bu İki Farkı Ele Alalım ;

Kullanıcı Adı ve Şifre Girdiğiniz Bir Web Sayfasını Karşıya Gönderiken Girmiş Olduğunuz Bilgilerin Adres Satırında (veya Kodlamada Nereye Yönlendirilmişse) Görünmesi Olayına GET Yöntemi Denir. POST Yönteminde Girilen Bilgiler Karşı Tarafa Yine Gönderilir Fakat Bir Fark Var Adres Satırında Girdiğiniz Bilgiler Değil Sadece Standart URL (Link) Görüntülenir..
---------------------


Vatan ne Türkiye'dir Türkler'e, ne Türkistan;
Vatan büyük ve müebbet bir ülkedir: Turan.

Deathangel01 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2013
Nereden:
Matrix
Yaş:
22
Mesajlar:
1.162
Konular:
93
Teşekkür (Etti):
383
Teşekkür (Aldı):
216
Ticaret:
(0) %
03-05-2014 22:12
#2
Eline saglık kardeşim
---------------------
Adaletin bittigi yerde anarşi başlar

Büyük Önder Mustafa Kemal Atatürk
İzindeyiz

BeginHackTeam e yardımlarından dolayı Teşekkürler
'GÖKBÖRÜ Teşekkür etti.
cneyt - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2008
Mesajlar:
272
Konular:
5
Teşekkür (Etti):
44
Teşekkür (Aldı):
28
Ticaret:
(0) %
03-05-2014 22:29
#3
En sevdiğim açıklardan biridir.
aslanmax75 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2014
Nereden:
Ankara
Mesajlar:
1.290
Konular:
193
Teşekkür (Etti):
330
Teşekkür (Aldı):
342
Ticaret:
(0) %
03-05-2014 22:32
#4
reyis okumadim ama iyi biseler yazmissindir eline saglik
Hexphase - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Nereden:
-Root/
Mesajlar:
232
Konular:
72
Teşekkür (Etti):
32
Teşekkür (Aldı):
24
Ticaret:
(0) %
03-05-2014 23:06
#5
ellerine saglık hocam başarılar...
mr~TURK - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2013
Mesajlar:
879
Konular:
134
Teşekkür (Etti):
66
Teşekkür (Aldı):
214
Ticaret:
(0) %
03-05-2014 23:14
#6
bu açığı çok sevdim
---------------------
gencaslan21 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2013
Nereden:
Not Found
Mesajlar:
2.069
Konular:
359
Teşekkür (Etti):
169
Teşekkür (Aldı):
324
Ticaret:
(0) %
03-05-2014 23:24
#7
Yararlı Konu ,
- Eline Saglık
---------------------
Son update

Yeni İsim : Black Lifee


TurkHackTeam.net/org
AlbaYm - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2012
Nereden:
İstanbul
Mesajlar:
440
Konular:
73
Teşekkür (Etti):
64
Teşekkür (Aldı):
37
Ticaret:
(0) %
08-05-2014 19:23
#8
Eline Sağlık,güzel açıktır.
fariskokulu - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2013
Mesajlar:
59
Konular:
13
Teşekkür (Etti):
8
Teşekkür (Aldı):
7
Ticaret:
(0) %
08-05-2014 20:20
#9
Güzel Anlatım Kardşeim Eline Sağlık
yldzemre088 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2014
Mesajlar:
752
Konular:
231
Teşekkür (Etti):
39
Teşekkür (Aldı):
78
Ticaret:
(0) %
08-05-2014 20:25
#10
teşekkürler

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı