Bilqi Forum  
Cross-Site Saldırıları ve Güvenlik Sanatı

Geri git   Bilqi Forum > > >

ÖDEVLERİNİZİ BULMAKTA ZORLANIYOMUSUNUZ!

SORUN ANINDA CEVAPLIYALIM.

TÜM SORULARINIZA ANINDA CEVAP VERİLECEKTİR !

Sitemize Üye Olmadan Konulara Cevap Yazabilir Ayrıca Soru Cevap Bölümüne Konu Açabilirsiniz !

Cross-Site Saldırıları ve Güvenlik Sanatı

Güvenlik


Yeni Konu aç Cevapla
 
Seçenekler Stil
Alt 09-02-2008, 11:48   #1
нüzüη
 
Üyelik tarihi: Jan 2008
Yaş: 28
Mesajlar: 3.916
Tecrübe Puanı: 687
нüzüη has a reputation beyond reputeнüzüη has a reputation beyond reputeнüzüη has a reputation beyond reputeнüzüη has a reputation beyond reputeнüzüη has a reputation beyond reputeнüzüη has a reputation beyond reputeнüzüη has a reputation beyond reputeнüzüη has a reputation beyond reputeнüzüη has a reputation beyond reputeнüzüη has a reputation beyond reputeнüzüη has a reputation beyond repute
Standart Cross-Site Saldırıları ve Güvenlik Sanatı

Hackerlar web tarayıcınızı zorlayarak istedikleri siteden istek gönderebilirler. Tek yapmaları gereken sizin bir bağlantıya tıklamanızı ya da bir e-postayı okumanızı sağlamak. Eğer sitede de bir koruma yoksa -ki genellikle yoktur- hackerlar tarayıcınızda sizin yapabileceğiniz her şeyi yapabilir. Özelliklerle oynayabilir, şifrelerinizi değişebilir hatta banka hesabınıza girebilir. Tüm bu kargaşanın altında Cross-Site (Çapraz Site) bağlantısı vardır.

Tarayıcılar bu bağlantıyı kesmek için genellikle "benzer kaynak ilkesini" kullanır. Bu ilke basitçe şöyledir; eğer sitenizin kaynaklarının (protokol, alan adı, port...) tümü eşleşmiyorsa bu site üzerinden başka bir siteye bilgi gönderimi ya da alımı yapamazsınız. Bu yöntem dışında internet üzerinde cross-site bağlantısı için başka bir güvenlik önlemi yoktur. Eğer ayrı bir web tarayıcısı kullanmıyorsanız her site bir diğerine veri gönderebilir. Yegane yöntem olan "benzer kaynak ilkesi" yöntemini aşmak ise saldırganlar için çokta zor değil. "IMG, FORM, SCRIPT, IFRAME" gibi etiketleri kullanarak kurbanın tarayıcısında bir istek oluşturulabilir bu da hedef siteye gönderilir.

Saldırganlar bu yöntem ile sahte istekler (forge request) gönderir. Bu saldırı yöntemi "cross-site request forgeries" ya da kısaca CSRF olarak adlandırılır. Örnek olarak Netflix'e yapılan CSRF saldırısına bir göz atalım.


Kod:
<img src=http://www.netflix.com/AddToQueue?movieid=70011204 width="1" height="1" border="0"><body onload="document.forms[0].submit()"><form method="POST" action="https://bank.com/transfer.do"> <input type="hidden" name="account" value="123456789"/> <input type="hidden" name="amount" value="2500"/></form>
Saldırgan bir resim etiketini istediği yere koyabilir, bir blog'a, web sayfasına ya da bir e-postanın içine. Kaza ile bu etiketi içeren bir sayfaya girerseniz ve Netflix hesabınıza da giriş yapmışsanız hesabınıza gizlice bir film eklenmiş olacaktır.

Daha gelişmiş saldırılar ardarda koyulan CSRF parçalarının sırayla çalışmasından doğabilir. Düşünün ki tarayıcınız çıldırdı ve ortalığı dağıtmaya başladı. Peki neler yapabilir? Giriş yaptığınız e-postalarınızı karıştırabilir. Daha önce giriş yaptığınız banka hesaplarında ne var ne yok diye göz atabilir. Ya da daha önceden "beni hatırla" seçeneğini işaretlediğiniz web sayfalarını gözüne kestirebilir. Peki ya iş yerinizdeyseniz ya da önemli bir ağa bağlı iseniz? Çılgın web tarayıcınız bu ağ için artık fitili çekilmiş bir bombadan farksızdır. İşte tüm bu saldırılar CSRF yöntemi ile basitçe ve uzaktan yapılabilir.

Güvenlik Sanatı

Peki tüm bu kargaşadan nasıl korunacağız? Dediğimiz gibi tarayıcılar güvenlik için yetersiz bu nedenle güvenlik önlemlerini kendimiz almalıyız. İlk olarak web sitelerine giriş yapmış (logged in) durumda kalmayın. Bir sayfadan çıkacaksanız sadece tarayıcıyı kapatmayın mutlaka "çıkış (logout)" bağlantısına da tıklayın. Diğer bir adım ise eğer CSRF'den korkuyorsanız kritik siteleriniz için ayrı tarayıcılar kullanın. Şirketler intranet uygulamaları genellikle için bu yöntemi izlerler.

Eğer bir CSRF saldırısı altındaysanız büyük ihtimalle olağadan dışı bir şey görmeyeceksiniz. Çünkü tamamen bağlantıların yönlendirilmesi ile yapılan CSRF saldırıları dışarı uyarı vs. vermez. Bunu anlamanın tek yolu saldırının hedefi olan hesaplarınızdaki anlık değişimlerdir.

Ayrıca CSRF çok güçlü bir teknikte olsa genellikle XSS ile birlikte kullanılır. Bu şekilde bağlantıya müdahale edildikten sonra sistemde çeşitli uygulamalarda çalıştırılabilir. Gelişen saldırı yöntemleriyle birlikte yakında CSRF-XSS kurtçuklarının çıkması olası görünüyor.

Şuanda CSRF'den en iyi korunma metodu rastgele anahtarlar oluşturmaktır. Bu anahtarları uygulamanızın içerisine, URL'nin içine ya da gizli bir form ile ekleyebilirsiniz.

Örnek;


Kod:
http://www.siteadi.com/?token=8FD41A&data=1
anlış anahtarla gelen istekleri bu şekilde tespit edebilir ve geri gönderebilirsiniz. Bunun dışında eğer kodlarla uğraşmak istemiyorsanız OWASP'ın geliştirdiği OWASP CSRFGuard bir çözüm olabilir.

CSRF'den kurtulmak istiyorsanız yukarıdaki değişik yöntemleri kullanabilirsiniz fakat en önemli güvenlik önleminin sizin dikkatiniz olduğunu hiç bir zaman unutmayın.
__________________
๒ค๒ค๓ א๏llคгıภ๔ค t๏z ๏l๓ค๓ ﻮєгєк
нüzüη isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Sponsored Links
Cevapla

Bookmarks


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-KodlarıKapalı

Gitmek istediğiniz klasörü seçiniz

Benzer Konular
Konu Konuyu Başlatan Forum Cevaplar Son Mesaj
Flash Banner’lara Pano Saldırıları endcastle13 Güvenlik 2 08-24-2008 11:50
^^Mum Sanatı _Seda_ Çeşitli Resimler 1 08-14-2008 16:53
Saldırıları kınıyorum Haberci Siyaset Meydanı 0 07-30-2008 06:03
İspanya Madrid saldırıları kararında değişiklik yaptı Haberci Dünyadan Haberler 0 07-17-2008 13:43
BM Sırbistan'daki saldırıları kınadı LeGoLaS Dünyadan Haberler 0 02-22-2008 09:44


Şu Anki Saat: 14:19


İçerik sağlayıcı paylaşım sitelerinden biri olan Bilqi.com Forum Adresimizde T.C.K 20.ci Madde ve 5651 Sayılı Kanun'un 4.cü maddesinin (2).ci fıkrasına göre TÜM ÜYELERİMİZ yaptıkları paylaşımlardan sorumludur. bilqi.com hakkında yapılacak tüm hukuksal Şikayetler doganinternet@hotmail.com ve streetken27@gmail.com dan iletişime geçilmesi halinde ilgili kanunlar ve yönetmelikler çerçevesinde en geç 1 (Bir) Hafta içerisinde bilqi.com yönetimi olarak tarafımızdan gereken işlemler yapılacak ve size dönüş yapacaktır.
Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
Search Engine Optimisation provided by DragonByte SEO v2.0.36 (Lite) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.

Android Rom

Android Oyunlar

Android samsung htc

Samsung Htc

Nokia Windows