Siteler Arası İstek Sahteciliği (CSRF), bir web sitesinin güvenlik açıklarından yararlanmanın en eski yollarından biridir. Genellikle oturum açma gibi kimlik doğrulamaları gerektiren sunucu tarafı web anahtarlarını hedefler. Bir CSRF saldırısı sırasında, bir saldırgan, kurbanını kendi adına yetkisiz, kötü niyetli bir web isteğinde bulunmaya zorlamayı hedefler.
Zayıf veya zayıf web sitesi güvenlik uygulamaları ve kullanıcının yolundaki dikkatsizlik, başarılı bir CSRF saldırısının yaygın nedenlerinden bazılarıdır.
Bir CSRF saldırısının ne olduğuna ve kendinizi bundan bir geliştirici veya kullanıcı olarak engellemenin olası yollarına bakalım.
CSRF Saldırıları Sizi Nasıl Etkiler?
CSRF, kullanıcının oturum açmasını veya kimlik doğrulamasını gerektiren web eylemleri sırasında yetkisiz istekleri uygulamak için kullanılan bir saldırıdır. CSRF saldırıları, bir kullanıcının kimlik bilgilerini çalmak için oturum kimliklerinden, tanımlama bilgilerinden ve diğer sunucu tabanlı güvenlik açıklarından yararlanabilir.
Örneğin, CSRF karşıtı prosedürlerin etkinleştirilmesi, alanlar arası kötü niyetli etkileşimleri önler.
Bu engel bir kez kırıldığında, bir saldırgan, kullanıcının tarayıcısı tarafından oluşturulan çerezler aracılığıyla kullanıcının oturum kimliğinden hızla yararlanabilir ve savunmasız web sitesine bir komut dosyası etiketi yerleştirebilir.
Saldırgan, bir kimliği değiştirerek ziyaretçileri başka bir web sayfasına yönlendirebilir veya kötüye kullanabilir. sosyal mühendislik yöntemleri e-posta gibi bağlantılar göndermek, kurbanı kötü amaçlı yazılım indirmeye teşvik etmek.
Sosyal mühendisliğin sizi nasıl etkileyebileceğini ve bu planları belirlemenize ve bunlardan korunmanıza yardımcı olacak yaygın örnekleri öğrenin.
Kurban bu tür eylemleri gerçekleştirdiğinde, kullanıcının hizmet sayfasına bir HTTP isteği gönderir ve saldırgan lehine istek eylemine yetki verir. Bu, şüphesiz bir kullanıcı için yıkıcı olabilir.
Başarılı bir CSRF saldırısı, yetkili kullanıcıların, özellikle parola veya kullanıcı adı değişikliği istekleri gibi sunucu tabanlı işlemler sırasında, bir saldırgana erişim kimlik bilgilerini kaybetmelerine neden olabilir. Daha kötü senaryolarda, saldırgan tüm oturumu ele geçirir ve kullanıcıların adına hareket eder.
CSRF, web üzerinden fon işlemlerini ele geçirmek ve kullanıcı adlarını ve şifreleri değiştirmek için kullanıldı ve bu da kullanıcıların etkilenen hizmete erişimini kaybetmesine neden oldu.
Saldırganlar CSRF ile Oturumlarınızı Nasıl Ele Geçiriyor: Örnekler
CSRF saldırılarının ana hedefleri, bir kullanıcının kimlik doğrulamasını içeren web eylemleridir. Başarılı olmak için kurbanın kasıtsız eylemlerine ihtiyacı var.
CSRF saldırısı sırasında, GET, DELETE ve PUT eylemlerinin yanı sıra savunmasız POST istekleri bir saldırganın ana hedefleridir.
Bu terimlerin anlamlarına bakalım:
- ALMAK: Veritabanından bir sonuç toplama talebi; örneğin, Google araması.
- İLETİ: Genellikle web formları aracılığıyla istek göndermek için. POST isteği, bir kullanıcının kayıt veya oturum açma sırasında yaygındır, aksi takdirde kimlik doğrulama olarak bilinir.
- SİL: Veritabanından bir kaynağı kaldırmak için. Bunu, hesabınızı belirli bir web hizmetinden sildiğinizde yaparsınız.
- KOYMAK: Bir PUT isteği, mevcut bir kaynağı değiştirir veya günceller. Bir örnek Facebook adınızı değiştirmek.
Pratikte, saldırganlar bir CSRF saldırısını yedeklemek için oturum kaçırmayı kullanır. Bu kombinasyonu kullanırken, saldırgan kurbanın IP adresini değiştirmek için bir saldırı kullanabilir.
IP adresindeki değişiklik daha sonra kurbanı, saldırganın CSRF aracılığıyla oluşturduğu çoğaltılmış bir formu veya değiştirilmiş sunucu isteğini gönderen aldatıcı bir bağlantı eklediği yeni bir web sitesinde günlüğe kaydeder.
Şüphelenmeyen bir kullanıcı, yeniden yönlendirmenin servis sağlayıcıdan geldiğini düşünür ve saldırganın web sayfasındaki bağlantıyı tıklar. Bunu yaptıktan sonra, bilgisayar korsanları bilgileri olmadan sayfa yüklemede bir form gönderir.
GET İsteği CSRF Saldırısı Örneği
Güvenli olmayan bir e-ticaret platformu üzerinden çevrimiçi ödeme yapmaya çalıştığınızı hayal edin. Platform sahipleri, işleminizi işlemek için GET isteğini kullanır. Bu GET sorgusu şöyle görünebilir:
https://websiteurl/pay? miktar = 10 $ & şirket = [ABC şirketinin hesabı]Bir korsan, GET isteğinin parametrelerini değiştirerek işleminizi kolayca çalabilir. Bunu yapmak için tek yapmaları gereken, adınızı kendi adlarıyla değiştirmek ve daha da kötüsü, ödemeyi düşündüğünüz miktarı değiştirmektir. Daha sonra orijinal sorguyu şuna benzer şekilde değiştirirler:
https://websiteurl/pay? miktar = 20000 $ & şirket = [saldırganın hesabı]Bu değiştirilmiş GET isteğine giden bir bağlantıya tıkladığınızda, saldırganın hesabına istemeden bir aktarım yaparsınız.
GET istekleri aracılığıyla işlem yapmak kötü bir uygulamadır ve etkinlikleri saldırılara karşı savunmasız hale getirir.
POST İsteği CSRF Saldırısı Örneği
Bununla birlikte, birçok geliştirici POST isteğini kullanmanın web işlemleri yapmak için daha güvenli olduğuna inanıyor. Bu doğru olsa da, maalesef bir POST isteği de CSRF saldırılarına karşı hassastır.
Bir POST isteğini başarılı bir şekilde ele geçirmek için, bir saldırganın ihtiyaç duyduğu tek şey mevcut oturum kimliğiniz, bazı kopyalanmış görünmez formlar ve bazen biraz sosyal mühendisliktir.
Örneğin, bir POST istek formu şöyle görünebilir:
Ancak bir saldırgan, yeni bir sayfa oluşturarak ve yukarıdaki formu şu şekilde değiştirerek kimlik bilgilerinizi değiştirebilir:
Değiştirilmiş formda, saldırgan miktar alanının değerini "30000" olarak ayarlar, alıcının hesap numarasını kendi hesabına gönderir, formu sayfa yüklendiğinde gönderir ve ayrıca form alanlarını gizler Kullanıcı.
Mevcut oturumu ele geçirdiklerinde, işlem sayfanız saldırganın sayfasına bir yönlendirme başlatır ve bu da, ziyaret etme olasılığınızın en yüksek olduğunu bildikleri bir bağlantıya tıklamanızı ister.
Buna tıkladığınızda, paranızı saldırganın hesabına aktaran çoğaltılmış form gönderimi yüklenir. Bu, işlemin gerçekleşmesi için "gönder" gibi düğmelere tıklamanıza gerek olmadığı anlamına gelir, çünkü JavaScript sonraki web sayfasını yükledikten sonra bunu otomatik olarak yapar.
Alternatif olarak, bir saldırgan, aynı sayfa yükleme formu gönderimini gerçekleştirmek için bir bağlantıyı tıklatmanızı isteyen HTML gömülü bir e-posta da hazırlayabilir.
CSRF saldırısına karşı savunmasız olan diğer bir eylem, bir PUT isteği örneği olan bir kullanıcı adı veya parola değişikliğidir. Bir saldırgan, istek formunuzu kopyalar ve e-posta adresinizi kendi formuyla değiştirir.
Ardından oturumunuzu çalarlar ve sizi bir sayfaya yönlendirirler veya size çekici bir bağlantıya tıklamanızı isteyen bir e-posta gönderir.
Bu, parola sıfırlama bağlantısını sizin adresiniz yerine hacker'ın e-posta adresine gönderen değiştirilmiş bir form gönderir. Bu şekilde, bilgisayar korsanı şifrenizi değiştirir ve hesabınızın oturumunu kapatır.
Geliştirici Olarak CSRF Saldırıları Nasıl Önlenir
Bir CSRF'yi önlemenin en iyi yöntemlerinden biri, sunucuda bir durum değişikliği çalıştırmak için oturum tanımlama bilgilerine bağlı olmak yerine sık sık değişen belirteçler kullanmaktır.
İlişkili: Dijital Güvenliği Anlamak ve Gizliliğinizi Korumak için Ücretsiz Kılavuzlar
Birçok modern arka uç çerçevesi, CSRF'ye karşı güvenlik sunar. Dolayısıyla, CSRF'ye karşı güçlendirme tekniklerinden kendiniz kaçınmak istiyorsanız, yerleşik CSRF karşıtı belirteçlerle birlikte gelen sunucu tarafı çerçevelerini kullanarak bunu kolayca halledebilirsiniz.
Anti-CSRF belirteci kullandığınızda, sunucu tabanlı istekler daha statik savunmasız oturum tanımlama bilgileri yerine rastgele dizeler oluşturur. Bu şekilde, oturumunuzu korsan tarafından tahmin edilmekten koruyabilirsiniz.
Web uygulamanızda işlemleri çalıştırmak için iki faktörlü bir kimlik doğrulama (2FA) sistemi uygulamak, CSRF olasılığını da azaltır.
Yorum formları gibi kullanıcı alanlarına komut dosyası eklemeyi içeren siteler arası komut dosyası oluşturma (XSS) aracılığıyla bir CSRF başlatmak mümkündür. Bunu önlemek için, web sitenizdeki tüm kullanıcı formu alanlarında HTML otomatik kaçışını etkinleştirmek iyi bir uygulamadır. Bu eylem, form alanlarının HTML öğelerini yorumlamasını engeller.
Kullanıcı Olarak CSRF Saldırıları Nasıl Önlenir
Kimlik doğrulaması içeren bir web hizmetinin kullanıcısı olarak, saldırganların kimlik bilgilerinizi ve oturumlarınızı CSRF aracılığıyla çalmasını önlemede rolünüz var.
Para transferini içeren etkinlikler sırasında güvenilir web hizmetlerini kullandığınızdan emin olun.
Buna ek olarak, şunu kullanın: güvenli web tarayıcıları kullanıcıları oturum maruziyetinden koruyan ve arama verileri sızıntılarına karşı koruyan güvenli arama motorları.
İlişkili: Verilerinize Saygı Gösteren En İyi Özel Arama Motorları
Bir kullanıcı olarak, aşağıdaki gibi üçüncü taraf kimlik doğrulayıcılarına da güvenebilirsiniz: Google Authenticator veya alternatifleri kimliğinizi web üzerinden doğrulamak için.
Bir saldırganın oturumunuzu ele geçirmesini durdurma konusunda çaresiz hissediyor olsanız da, yine de yardım edebilirsiniz. tarayıcınızın parolalar ve diğer oturum açma bilgileri gibi bilgileri saklamamasını sağlayarak bunu önleyin detaylar.
Web Güvenliğinizi Güçlendirin
Geliştiricilerin, geliştirme ve dağıtım sırasında web uygulamalarını güvenlik ihlallerine karşı düzenli olarak test etmesi gerekir.
Ancak, diğer güvenlik açıklarını engellemeye çalışırken diğer güvenlik açıklarını ortaya çıkarmak yaygındır. Bu nedenle, bir CSRF'yi engellemeye çalışırken diğer güvenlik parametrelerini ihlal etmediğinizden emin olun.
Daha sonra hatırlayabileceğiniz güçlü bir şifre oluşturun. Güvenliğinizi yeni güçlü parolalarla bugün yükseltmek için bu uygulamaları kullanın.
- Güvenlik
- Çevrimiçi Güvenlik
Idowu, akıllı teknoloji ve üretkenlik konusunda tutkulu. Boş zamanlarında kodlama ile oynar ve sıkıldığında satranç tahtasına geçer, ancak arada bir rutinden ayrılmayı da sever. İnsanlara modern teknolojinin etrafındaki yolu gösterme tutkusu, onu daha fazla yazmaya motive ediyor.
Haber bültenimize abone ol
Teknoloji ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için haber bültenimize katılın!
Bir adım daha…!
Lütfen size az önce gönderdiğimiz e-postadaki e-posta adresinizi onaylayın.
