Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Web & Server Güvenliği

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.





CSRF Nedir, Nasıl Yapılır?

Web & Server Güvenliği

Yeni Konu aç Cevapla
 
Seçenekler
Alt 02-07-2012 13:22   #1
  • Forumdan Uzaklaştırıldı
  • Üye Bilgileri
Üyelik tarihi
06/2012
Nereden
Balıkesir -- Erdek
Yaş
26
Mesajlar
Konular

Teşekkür (Etti): 11
Teşekkür (Aldı): 238


CSRF Nedir, Nasıl Yapılır?



Merhabalar. Elimden geldiğince, dilimin döndüğünce CSRF yöntemini, ne olduğunu, neler yapılabileceğini anlatmaya çalışacağım.

CSRF one click attack, session reading gibi adlarla da anılır özellikle bu konuda daha geniş araştırma yapmayı planlıyorsanız bu kelimeleri de araştırmalarınız sırasında kullanabilirsiniz.

CSRF(Cross Site Request Forgery) ile bir saldırı sırasında sisteme biz direk saldırmak yerine bir bağlantı kullanıyoruz. Bu bağlantı ne? Hayır, bir program vs değil, başka bir kullanıcı. Örnek veriyorum xxx.com a saldırı düzenleyeceğiz diyelim bu saldırıyı kendimiz direk değil,bir xxx.com kullanıcısı üzerinden yapıyoruz,yani onu kullanıyoruz.

Yani neler yapabiliriz bunda, en basit hareketle sistemden çıkış sağlayabiliriz, daha çok işimize yarayacak olan şifre değiştirme işlemini yapabiliriz veya alışveriş sitelerinde güvenlik zayıfsa çok daha zarar verici işler yapabiliriz. Bunun ne kadar etkili bir yöntem olduğunu merak ediyorsanız size Güney Kore’de 15 milyon insanın bilgilerinin çalındığını söylemem yeterince açıklayıcı olacaktır.

CSRF XSS ile benzerdir ama tamamen aynı değildir, doküman arşivinden de bakarsanız göreceksiniz ki xss ile kurbanın cookie/çerez(tanımlama belgesi diyelim bir nevi) çalıp ondan sonra işimiz hallediyorduk ama CSRF yönteminde işi direk kullanıcıya yaptırıyoruz.

Olayı banka örneğiyle açıklamaya çalışıyorum.Şimdi siz bankada bir işlem yaptınız(bankanızın sitesinden işlem yaptınız, online olarak yani) ve çıktınız,cookienizi –oturum bilgilerinizi silmeden çıkış işlemini yaptınız diyelim veya bankanın sitesi siz çıkış yaptığında bunları kaldırmadı diyelim,sizi kurban seçen kişi size büyük bir zarar verebilir.Bu nasıl mı olur,çok basit.Basit bir HTML kodu ile bunu başarabilir ve sizin üzerinizden işlem yapabilir.Bunu sayfaya bahsettiğim HTML kodunu gömerek yapabilir(bir javascript kodu da olabilir bu) tam olarak açıklamam gerekirse;

<img src=http://bankaiste/paracek?hesap=kamil&sukadarmiktar=239&hackericin>

Verdiğim kod size olayı açıklarken kullanmak istediğim, mantığı vermek istediğim için Türkçe. Şimdi anladığınız üzere biz bu kodla Kamil’in hesabından hackerın hesabına para aktarmış olduk,239 yerine eğer 5oo yazsaydık 500 Dolar, Euro veya her neyse o kadar yolluyor olacaktık. Yani sayfaya gömdüğümüz bu kod ile herifin hesabından yüklüce bir para almış olduk. Çünkü adam çıkış yaparken tanımlama bilgisini silmedi yani sistemde yani bankanın sitesinde hala kayıtlı olarak göründü e bu ne demekti, adam üzerinden hala işlem yapabiliriz demekti. Ama her şeyden önemlisi biz hiçbir şey yapmadık (hiçbir şey yapmadık derken kendimizi çok yormadık anlamında söylüyorum bunu (: )sadece kodu sayfaya gömdük ve bekledik. Tabi bu sadece banka işlerinde kullanılacak değil bunu çok farklı siteler üzerinde farklı amaçlar kullanabilirsiniz.
Bu kodu sayfaya da gömebilir, her şekilde size sokuşturabilir.

Buna karşı nasıl bir koruma olabilir, sayfayı terk ederken cookilerinizi silin, güvenilir alışveriş sitelerinden alış veriş yapın. Site tasarlayanlar ve kod geliştiriciler açısından da en iyi yöntem sürekli,her sayfada kimlik kontrolü yapmak olacaktır..

Güvenilirden kastım adının sanının büyük olmasından ziyade sanal güvenlik önlemleridir, kullandıkları güvenlik sistemleri hakkında bilgi sahibi olun bunlar için birkaç dakika ayırmamanız size binlerce dolara mal olabilir.



ALINTIDIR
 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau