Cross Site Request Forgery(CSRF) Oluşumu ve Korunma Önlemleri
Nette gezerken çok güzel bir Döküman buldum,Cw’de paylaşmak istedim.
Bir Çok Ünlü Sitelerde Bulunan Açıklardan Bir Yenisi İse CSRF Açıgıdır. ( Bknz: CuteNews All Version CSRF Exploit ) Bu Link’teki Açıgı İncelerseniz Belki Anlarsınız , CuteNews Bilinmiş Bir Script Olmak Üzere KurtLarVadisi Gibi BÜyük Sitelerinde Kullandıgı Script’tir . Örnek Olarak verdim Çünkü Büyük Sistemlerde Bile Bu Açık Mevcut’tur.
Cross Site Request Forgery(CSRF)Çalışma Mantığı Nedir ?
CSRF ; Attackerın İstegiyle , Web Userin İsteksizLigiyle yapılan Bir İşlemdir. Attacker Size ZARARLI kodları Gönderir veya Herhangi Bir Sayfaya Ekler Ve Sİzi O Sayfaya Yönlendirir, Siz Gİrdiginiz Gibi POST Ederek Şifre , E-mail vb. Bilgilerinizi Degiştirebilir.
Resimde Anlatıldıgı Gibidir.Ve Web Servera post yapılır Web Server onayladıktan Sonra Tamamen Tüm Bİlgiler Attacker’ın Eline geçer Ve Saldırısı Başarılı Olur.
CSRF’den Korunma Yöntemleri Nelerdir ?
# Her İşlemden Sonra Cookie’nizi Siliniz.Bunun İçin CCLeaner Öneriyorum.
# Sitenize İse Şifre Degişim Bölümüne “Eski şifre” Fonksiyonunu Yazmanız.
# PHP’de GKOD Fonsiyonu’nun Kullanılması
# Bazen JavaScript İle İşlem Yapılmaktadır.Bunu Engellemek için Mozilla Firefox Ve Bknz : Kişisel Güvenliğiniz İçin “Mozilla NoScript” ! Bu Yazıdaki NoScript Eklentisini kurun
PHP > GD ile Güvenlik
Signup, login vs. gibi kullanıcıdan form aracılığıyla bilgi girmesini beklediğimiz uygulamalarda,
post (veya get) edilen datayı, gerçekten kullanıcınınmı(insan) yoksa iyi niyetli olmayan bir
programınmı gönderdiğini anlamamız gerekebilir. Bu noktada insanın algı mekanizmasını kullanıp,
kötü niyetli programın resim olarak algıladığı, ama insanın resimdeki şekilleri harf ve rakam
olarak algıladığı bir atlatmaca kullanırız. İçinde harfler ve rakamlardan oluşan text bulunan bir
resim bu atlatmacayı kolayca yapacaktır. Ancak bazı OCR uygulamaları image dosyası içindeki
şekilleri ascii karakterlere çevirebilmektedir. OCR programları kitap harfleri ve bilinen
fontlardaki düzgün şekilleri ascii ye çevirebilmektedirler. Bunun için resmimizdeki texti biraz
okunması zor hale getirmek yeterli olacaktır. Hele yazı için yamuk bir font kullanırsak ocr nin işi
çok zorlaşacaktır.
PHP İle Kendiniz Fonksiyon Yazarak Korunun !
Eski Şifreyi Girin Fonksiyonunu Sizlerlede Paylaştım.bu Fonksiyonda bir O Kadar Önemli CSRF için. Çünkü Eski Şifreyi Bilmiyerek Attack Yapan Attacker Sizin eski Şifre İstemenizle Bir O Kadar Zor Olur Ve Güvenlik İçin Birebir İyi Olmaktadır.
[url]https://tik.lat/Okj00
PHP İle Kendiniz Fonksiyon Yazarak Korunun ! -
https://tik.lat/7csID
https://tik.lat/pEkdV
Nette gezerken çok güzel bir Döküman buldum,Cw’de paylaşmak istedim.
Bir Çok Ünlü Sitelerde Bulunan Açıklardan Bir Yenisi İse CSRF Açıgıdır. ( Bknz: CuteNews All Version CSRF Exploit ) Bu Link’teki Açıgı İncelerseniz Belki Anlarsınız , CuteNews Bilinmiş Bir Script Olmak Üzere KurtLarVadisi Gibi BÜyük Sitelerinde Kullandıgı Script’tir . Örnek Olarak verdim Çünkü Büyük Sistemlerde Bile Bu Açık Mevcut’tur.
Cross Site Request Forgery(CSRF)Çalışma Mantığı Nedir ?
CSRF ; Attackerın İstegiyle , Web Userin İsteksizLigiyle yapılan Bir İşlemdir. Attacker Size ZARARLI kodları Gönderir veya Herhangi Bir Sayfaya Ekler Ve Sİzi O Sayfaya Yönlendirir, Siz Gİrdiginiz Gibi POST Ederek Şifre , E-mail vb. Bilgilerinizi Degiştirebilir.
Resimde Anlatıldıgı Gibidir.Ve Web Servera post yapılır Web Server onayladıktan Sonra Tamamen Tüm Bİlgiler Attacker’ın Eline geçer Ve Saldırısı Başarılı Olur.
CSRF’den Korunma Yöntemleri Nelerdir ?
# Her İşlemden Sonra Cookie’nizi Siliniz.Bunun İçin CCLeaner Öneriyorum.
# Sitenize İse Şifre Degişim Bölümüne “Eski şifre” Fonksiyonunu Yazmanız.
# PHP’de GKOD Fonsiyonu’nun Kullanılması
# Bazen JavaScript İle İşlem Yapılmaktadır.Bunu Engellemek için Mozilla Firefox Ve Bknz : Kişisel Güvenliğiniz İçin “Mozilla NoScript” ! Bu Yazıdaki NoScript Eklentisini kurun
PHP > GD ile Güvenlik
Signup, login vs. gibi kullanıcıdan form aracılığıyla bilgi girmesini beklediğimiz uygulamalarda,
post (veya get) edilen datayı, gerçekten kullanıcınınmı(insan) yoksa iyi niyetli olmayan bir
programınmı gönderdiğini anlamamız gerekebilir. Bu noktada insanın algı mekanizmasını kullanıp,
kötü niyetli programın resim olarak algıladığı, ama insanın resimdeki şekilleri harf ve rakam
olarak algıladığı bir atlatmaca kullanırız. İçinde harfler ve rakamlardan oluşan text bulunan bir
resim bu atlatmacayı kolayca yapacaktır. Ancak bazı OCR uygulamaları image dosyası içindeki
şekilleri ascii karakterlere çevirebilmektedir. OCR programları kitap harfleri ve bilinen
fontlardaki düzgün şekilleri ascii ye çevirebilmektedirler. Bunun için resmimizdeki texti biraz
okunması zor hale getirmek yeterli olacaktır. Hele yazı için yamuk bir font kullanırsak ocr nin işi
çok zorlaşacaktır.
PHP İle Kendiniz Fonksiyon Yazarak Korunun !
Eski Şifreyi Girin Fonksiyonunu Sizlerlede Paylaştım.bu Fonksiyonda bir O Kadar Önemli CSRF için. Çünkü Eski Şifreyi Bilmiyerek Attack Yapan Attacker Sizin eski Şifre İstemenizle Bir O Kadar Zor Olur Ve Güvenlik İçin Birebir İyi Olmaktadır.
[url]https://tik.lat/Okj00
PHP İle Kendiniz Fonksiyon Yazarak Korunun ! -
https://tik.lat/7csID
https://tik.lat/pEkdV
