THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

Xsrf - csrf //

Oğuz~#> - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2009
Nereden:
Bursa
Yaş:
23
Mesajlar:
4.772
Konular:
1485
Teşekkür (Etti):
1877
Teşekkür (Aldı):
2499
Ticaret:
(0) %
03-06-2014 16:20
#1
Xsrf - csrf //
XSRF - CSRF (Cross-Site Request Forgery)
XSRF – CSRF günümüzün en yaygın ve en kullanışlı Web App. Security açığıdır.XSRF- CSRF İçinde XSS Bulunduran ve XSS alanında görülen bir güvenlik açığıdır. Kullanıcı parametresi kullanarak güven sağlamış gibi tehlike arz etmektedir.Bu uygulama ile “Banka Şifreleri, Para transfer uygulamaları,Mail Şifreleri …” gibi bir çok legal kullanımlar tehlike altındadır.
XSRF kullanım saldırganları kullanıcının kayıtlı bilgilerini kendi ellerindeki bir istemci tarafından kullanıcıya tıklattırarak değiştirebilirler.Bu durumda kullanıcı Online yani giriş yapmış olmalıdır.XSS kullanıcı bilgilerini kendi tarafına javascript kodlarıyla çekmek amaçlıdır fakat XSRF kullanıcının bilgileri kendi tarafından değiştirmek amaçlıdır.Gönderilen tek bir link ile bunu sağlamak mümkündür.
XSRF Exploiting:
XSRF ile saldırı yapabilmek için saldırganın yardımcı bir sistem kullanması gerekmektedir.Bu yardımcı sistem kullanılan ve bilgilerin alınması için gerekli Web sayfası olabilir.Saldırgan web sayfasındaki XSRF açığı oluşturan alanı kendine göre düzenleyip size farklı bir link ile sunabilir bilgilerinizi değiştirip kendi giriş yapabilir.
site.com/password.php
Kullanıcı üstteki linkte giriş yaptığı alanda şifrelerini değiştirebilir olsun.
site.com/password.php?pass=bugres
Şifre değişiminden sonra linkteki gibi bir URL uygulaması görüntüleniyor.
Böyle bir uygulama içerisinde Post ve Get Metotları kullanarak kullanıcının şifreleri sadece bir link ile değiştirilebilir.
<b0dy onLoad="Submit();">
**********function Submit[]{********.BraveHeart.submit();}</script>

<form action=”/password.php” method="post">

<input type="text" name="password" />
<input class="button" type="submit" name="submit" value="Onay" />

Sayfa içerisindeki kodlamaya göre böyle bir kodlamayı HTML yaparak veya <img> içerisinde yolladığınız bir linkte saklayarak kurbana yedirmeniz doğrultusunda şifre değişecektir.XSRF uygulamaları sadece kodlama ile değil URL üzerinde de etkilemektedir.
Link uygulamasına Hotmail’den Bir Örnek:
Sign In
Bu Örnekte URL Kriptolama İle Hotmail Üzerinden “Postalarınızı Başka Maile Gönderin” Bölümüne yazdırma yapabiliyoruz.Yalnız Hotmail Mail Oturumunuz Açık Olması Gerekmektedir.
XSRF Korunma Yöntemleri:
· GET Metot’u yerine POST Metot’u kullanabilirsiniz.
· Kullanıcı Parametresi veya Özel Bir sunucu isteyerek engelleyebilirsiniz.
· İstemci yönlendirmesi kullanabilirsiniz.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler