CSRF SALDIRILARI Yusuf ER OWASP role Organization email

  • Slides: 9
Download presentation
CSRF SALDIRILARI <Yusuf ÇERİ> <OWASP role> <Organization> <email> <phone> 23 ARALIK 2008 Copyright ©

CSRF SALDIRILARI <Yusuf ÇERİ> <OWASP role> <Organization> <email> <phone> 23 ARALIK 2008 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http: //www. owasp. org

CSRF <CSRF Nedir? <Güvensiz Kod Yazılması ve CSRF Saldırısı <CSRF saldırısı açıklığını farkına varmak

CSRF <CSRF Nedir? <Güvensiz Kod Yazılması ve CSRF Saldırısı <CSRF saldırısı açıklığını farkına varmak <CSRF saldırısını önlemek 2

CSRF NEDİR? <Saldırganın hazırlamış olduğu kötü niyetli web sitesinin, CSRF açıklığının bulunduğu bir web

CSRF NEDİR? <Saldırganın hazırlamış olduğu kötü niyetli web sitesinin, CSRF açıklığının bulunduğu bir web sitesine kullanıcının haberi olmadan işlemler yaptırabilmesidir.

GÜVENSİZ KOD YAZMA ve CSRF Saldırısı

GÜVENSİZ KOD YAZMA ve CSRF Saldırısı

GÜVENSİZ KOD YAZMA ve CSRF Saldırısı <İnternette çoğu sitede önlem yok. Uyuyan dev olarak

GÜVENSİZ KOD YAZMA ve CSRF Saldırısı <İnternette çoğu sitede önlem yok. Uyuyan dev olarak adlandırılıyor (Sleeping-giant) <CSRF Saldırısı ile banka hesabından para transferi, e-mail hesabında ayarları değiştirme, e -mail gönderme gibi saldırılar gerçekleştirilebilir.

GÜVENSİZ KOD YAZMA ve CSRF Saldırısı <Kullanıcıdan gelen istekler: Gelen her istek kullanıcının bilerek

GÜVENSİZ KOD YAZMA ve CSRF Saldırısı <Kullanıcıdan gelen istekler: Gelen her istek kullanıcının bilerek gönderdiği istekler olmayabilir. <Geliştiriciler saldırıyı bilmiyor. <Saldırının etkileri önemsenmiyor.

CSRF SALDIRISI AÇIKLIĞINI FARKINA VARMAK <Kullanıcıdan gelen her istek kullanıcının isteğiyle gelmeyebilir. <Webscarab, Paros

CSRF SALDIRISI AÇIKLIĞINI FARKINA VARMAK <Kullanıcıdan gelen her istek kullanıcının isteğiyle gelmeyebilir. <Webscarab, Paros gibi proxy programlarını kullanarak sayfalar üzerinde test yapmak.

CSRF SALDIRISI ÖNLENMESİ <Uygulamanın kritikliğine, performansına, metodun uygulanabilirliğine göre metodlardan uygun olanlar seçilmeli. <GET

CSRF SALDIRISI ÖNLENMESİ <Uygulamanın kritikliğine, performansına, metodun uygulanabilirliğine göre metodlardan uygun olanlar seçilmeli. <GET istekleriyle verileri değiştirmek yerine verilerin okumak. <Kriptografik değer üreterek oturumda bu değeri saklamak. Kullanıcıdan gelen bu değerin oturumda tutulan değerle aynı olmasını beklemek.

KAYNAKLAR <http: //jeremiahgrossman. blogspot. com/2006/09 /csrf-sleeping-giant. html <Cross-Site Request Forgeries: Exploitation and Prevention, William

KAYNAKLAR <http: //jeremiahgrossman. blogspot. com/2006/09 /csrf-sleeping-giant. html <Cross-Site Request Forgeries: Exploitation and Prevention, William Zeller and Edward W. Felten. <http: //www. webguvenligi. org/wpcontent/uploads/2008/01/anket/index. htm <http: //www. cgisecurity. com/articles/csrffaq. shtml <Cross-Site Request Forgeries – An introduction to common web application weakness

OWASP The OWASP Foundation http www owasp orgOWASP The OWASP Foundation http www owasp org
OWASP The OWASP Foundation http www owasp orgOWASP The OWASP Foundation http www owasp org
OWASP University Challenge OWASP App SecUSA OWASP SeptemberOWASP University Challenge OWASP App SecUSA OWASP September
CSRF the nightmare becomes reality Lieven Desmet OWASPCSRF the nightmare becomes reality Lieven Desmet OWASP
OWASP Education Computer based training The OWASP FoundationOWASP Education Computer based training The OWASP Foundation
OWASP and OWASP Membership Sebastien Deleersnyder CISSP SepOWASP and OWASP Membership Sebastien Deleersnyder CISSP Sep
OWASP Top10 2013 Dave Wichers OWASP Top 10OWASP Top10 2013 Dave Wichers OWASP Top 10
OWASP Broken Web Applications OWASP BWA Beyond 1OWASP Broken Web Applications OWASP BWA Beyond 1