İçindekiler:
- Tanım - Siteler Arası Talep Sahteciliği (CSRF) ne anlama geliyor?
- Techopedia, Siteler Arası Talep Sahteciliğini (CSRF) açıklıyor
Tanım - Siteler Arası Talep Sahteciliği (CSRF) ne anlama geliyor?
Siteler arası istek sahteciliği (CSRF), güvenilir bir web sitesi kullanıcısından yetkisiz komutlar vererek gerçekleştirilen bir web sitesi istismar türüdür. CSRF, web siteleri arası komut dosyası oluşturmanın aksine, bir web sitesinin belirli bir kullanıcının tarayıcısına olan güveninden yararlanır ve bu da kullanıcının bir web sitesine olan güveninden yararlanır.
Bu terime, aynı zamanda oturum sürme veya tek tıklamayla saldırı da denir.
Techopedia, Siteler Arası Talep Sahteciliğini (CSRF) açıklıyor
CSRF genellikle istismar noktası olarak bir tarayıcının "GET" komutunu kullanır. CSR sahtecileri, belirli bir web sitesine komut enjekte etmek için "IMG" gibi HTML etiketleri kullanır. Bu web sitesinin belirli bir kullanıcısı daha sonra bir ana bilgisayar ve istenmeyen bir suç ortağı olarak kullanılır. Meşru bir kullanıcı komutları gönderdiğinden, genellikle web sitesi saldırı altında olduğunu bilmez. Saldırgan, başka bir hesaba para aktarma, daha fazla para çekme veya PayPal ve benzeri siteler durumunda başka bir hesaba para gönderme talebinde bulunabilir.
Bir CSRF saldırısının yapılması zordur, çünkü başarılı olması için birtakım şeyler olması gerekir:
- Saldırgan, yönlendiren başlığını (ortak olan) kontrol etmeyen bir web sitesini veya yönlendiren kimlik sahtekarlığına (nadiren) izin veren bir tarayıcı veya eklenti hatası olan bir kullanıcıyı / kurbanı hedeflemelidir.
- Saldırganın hedef web sitesinde, mağdurun e-posta adresi giriş kimlik bilgilerini değiştirme veya para transferi yapma gibi bir form sunması gereken bir form göndermesi gerekir.
- Saldırgan, formun veya URL'nin tüm girdileri için doğru değerleri belirlemelidir. Bunlardan herhangi birinin, saldırganın doğru bir şekilde tahmin edemediği gizli değerler veya kimlikler olması gerekiyorsa, saldırı başarısız olur.
- Saldırgan, hedef siteye giriş yaparken kullanıcıyı / mağduru kötü amaçlı kod içeren bir Web sayfasına yönlendirmelidir.
Örneğin, A kişisinin bir sohbet odasındayken banka hesabına göz attığını varsayalım. Sohbet odasında A kişisinin bank.com'da da oturum açtığını öğrenen bir saldırgan (B kişisi) vardır. Kişi B, komik bir görüntü için bir bağlantıyı tıklamak için Kişi A'yı cezbeder. "IMG" etiketi, bank.com'un form girişleri için değerleri içerir; bu, A kişisinin hesabından belirli bir tutarı B Kişisinin hesabına etkili bir şekilde aktaracaktır. Paranın aktarılmasından önce bank.com'un A Kişisi için ikincil kimlik doğrulaması yoksa saldırı başarılı olur.
