CSRF SALDIRILARI Yusuf ER OWASP role Organization email
- Slides: 9
CSRF SALDIRILARI <Yusuf ÇERİ> <OWASP role> <Organization> <email> <phone> 23 ARALIK 2008 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http: //www. owasp. org
CSRF <CSRF Nedir? <Güvensiz Kod Yazılması ve CSRF Saldırısı <CSRF saldırısı açıklığını farkına varmak <CSRF saldırısını önlemek 2
CSRF NEDİR? <Saldırganın hazırlamış olduğu kötü niyetli web sitesinin, CSRF açıklığının bulunduğu bir web sitesine kullanıcının haberi olmadan işlemler yaptırabilmesidir.
GÜVENSİZ KOD YAZMA ve CSRF Saldırısı
GÜVENSİZ KOD YAZMA ve CSRF Saldırısı <İnternette çoğu sitede önlem yok. Uyuyan dev olarak adlandırılıyor (Sleeping-giant) <CSRF Saldırısı ile banka hesabından para transferi, e-mail hesabında ayarları değiştirme, e -mail gönderme gibi saldırılar gerçekleştirilebilir.
GÜVENSİZ KOD YAZMA ve CSRF Saldırısı <Kullanıcıdan gelen istekler: Gelen her istek kullanıcının bilerek gönderdiği istekler olmayabilir. <Geliştiriciler saldırıyı bilmiyor. <Saldırının etkileri önemsenmiyor.
CSRF SALDIRISI AÇIKLIĞINI FARKINA VARMAK <Kullanıcıdan gelen her istek kullanıcının isteğiyle gelmeyebilir. <Webscarab, Paros gibi proxy programlarını kullanarak sayfalar üzerinde test yapmak.
CSRF SALDIRISI ÖNLENMESİ <Uygulamanın kritikliğine, performansına, metodun uygulanabilirliğine göre metodlardan uygun olanlar seçilmeli. <GET istekleriyle verileri değiştirmek yerine verilerin okumak. <Kriptografik değer üreterek oturumda bu değeri saklamak. Kullanıcıdan gelen bu değerin oturumda tutulan değerle aynı olmasını beklemek.
KAYNAKLAR <http: //jeremiahgrossman. blogspot. com/2006/09 /csrf-sleeping-giant. html <Cross-Site Request Forgeries: Exploitation and Prevention, William Zeller and Edward W. Felten. <http: //www. webguvenligi. org/wpcontent/uploads/2008/01/anket/index. htm <http: //www. cgisecurity. com/articles/csrffaq. shtml <Cross-Site Request Forgeries – An introduction to common web application weakness