HACKER - CSRF nedir, Nasıl yapılır?
  Ana Sayfa
  Ziyaretçi defteri
  HACKER OLAMAK İSTİYENLER
  Başkaların Bilgisayarını Haclemek istiyenler
  Hackerlerin Kullandığı Programlar
  HABERLER
  Hack-Güvenlik
  => Kişisel Güvenlik ve Korunma Yöntemleri
  => Wireless Şifresi Kırma
  => Domain Adınızı Güncellemeyi Unutursanız...
  => Bir Rootkit Hikayesi...
  => RootKit Nedir ve Sistemden Nasıl Temizlenir?
  => Bruteforce Yöntemi İle Şifre Kırma Hesaplaması
  => Sosyal Mühendislik ve Senaryolar
  => Detaylarıyla Denial Of Service
  => N-Keylogger v1.3 ve Kullanımı
  => Access, Mssql ve Mysql ile Sql Injection
  => Soru-Cevap ile Hack Nedir, Nasıl Yapılır?
  => CSRF nedir, Nasıl yapılır?
  => Sql Server Şifreleri Nasıl Saklar?
  => PGP ye Pratik Giriş, PGP Kullanımı ve E-mail Güvenliği
  => Sanal Mağazacılık Ve Sanal Alışveriş
  => Veritabanı Saldırıları
  => Reverse Engineering - Visual Basic P-Code
  => Efkan Forum 2 - Database Yolu ile Hackleme Yöntemi 2
  => Efkan Forum - Database Yolu ile Hackleme Yöntemi
  => Kredi Kartları Güvenliği ve Carding Hakkında
  => Sosyal Mühendislik Hakkında
  => İnternet Bankacılığı ve Güvenliği
  => Reverse Engineering - Self Modifying
  => Reverse Engineering - Hedef Bölge
  => Reverse Engineering - Keygenler
  => Reverse Engineering - .Net Programları
  => Reverse Engineering - DeDe & VBDecompiler
  => Telnet ile Mailbox Temizlemek
  => Port Listesi
  => Virüs Çeşitleri
  => Proxy, Firewall ve kurulumu
  => Kredi Kartlarının Onaylanması ve Check Digit Algoritması
  => Exploit Nedir, Sistemlere Sızma Yolları
  => Exploitler Nedir, Nereden Bulunur ve Nasıl Kullanılır?
  => Advanced Coding / Buffer Overflow Exploit -3
  => Advanced Coding / Buffer Overflow Exploit -2
  => Advanced Coding / Buffer Overflow Exploit -1
  Windows Püfleri
  Arşiv
  İletişim

CSRF nedir, Nasıl yapılır?

 


Merhabalar. Elimden geldiğince, dilimin döndüğünce CSRF yöntemini, ne olduğunu, neler yapılabileceğini anlatmaya çalışacağım.

CSRF one click attack, session reading gibi adlarla da anılır özellikle bu konuda daha geniş araştırma yapmayı planlıyorsanız bu kelimeleri de araştırmalarınız sırasında kullanabilirsiniz.

CSRF(Cross Site Request Forgery) ile bir saldırı sırasında sisteme biz direk saldırmak yerine bir bağlantı kullanıyoruz. Bu bağlantı ne? Hayır, bir program vs değil, başka bir kullanıcı. Örnek veriyorum xxx.com a saldırı düzenleyeceğiz diyelim bu saldırıyı kendimiz  direk değil,bir xxx.com kullanıcısı üzerinden yapıyoruz,yani onu kullanıyoruz.

Yani neler yapabiliriz bunda, en basit hareketle sistemden çıkış sağlayabiliriz, daha çok işimize yarayacak olan şifre değiştirme işlemini yapabiliriz veya alışveriş sitelerinde güvenlik zayıfsa çok daha zarar verici işler yapabiliriz. Bunun ne kadar etkili bir yöntem olduğunu merak ediyorsanız size Güney Kore’de 15 milyon  insanın  bilgilerinin çalındığını söylemem yeterince açıklayıcı olacaktır.

CSRF XSS ile benzerdir ama tamamen aynı değildir, doküman arşivinden de bakarsanız göreceksiniz ki xss ile kurbanın cookie/çerez(tanımlama belgesi diyelim bir nevi) çalıp ondan sonra işimiz hallediyorduk ama CSRF yönteminde işi direk kullanıcıya yaptırıyoruz.

Olayı banka örneğiyle açıklamaya çalışıyorum.Şimdi siz bankada bir işlem yaptınız(bankanızın sitesinden işlem yaptınız, online olarak yani) ve çıktınız,cookienizi –oturum bilgilerinizi silmeden çıkış işlemini yaptınız diyelim veya bankanın sitesi siz çıkış yaptığında bunları kaldırmadı diyelim,sizi kurban seçen kişi size büyük bir zarar verebilir.Bu nasıl mı olur,çok basit.Basit bir HTML kodu ile bunu başarabilir ve sizin üzerinizden işlem yapabilir.Bunu sayfaya  bahsettiğim HTML kodunu gömerek yapabilir(bir javascript kodu da olabilir bu) tam olarak açıklamam gerekirse;

<img src=http://bankaiste/paracek?hesap=kamil&sukadarmiktar=239&hackericin>

Verdiğim kod size olayı açıklarken kullanmak istediğim, mantığı vermek istediğim için Türkçe. Şimdi anladığınız üzere biz bu kodla Kamil’in hesabından hackerın hesabına para aktarmış olduk,239 yerine eğer 5oo yazsaydık 500 Dolar, Euro veya her neyse o kadar yolluyor olacaktık. Yani sayfaya gömdüğümüz bu kod ile herifin hesabından yüklüce bir para almış olduk. Çünkü adam çıkış yaparken tanımlama bilgisini silmedi yani sistemde yani bankanın sitesinde hala kayıtlı olarak göründü e bu ne demekti, adam üzerinden hala  işlem yapabiliriz  demekti. Ama her şeyden önemlisi biz hiçbir şey yapmadık (hiçbir şey yapmadık derken kendimizi çok yormadık anlamında söylüyorum bunu (: )sadece kodu sayfaya gömdük ve bekledik. Tabi bu sadece banka işlerinde kullanılacak değil bunu çok farklı siteler üzerinde farklı amaçlar kullanabilirsiniz.
Bu kodu sayfaya da gömebilir, her şekilde size sokuşturabilir.

Buna karşı nasıl bir koruma olabilir, sayfayı terk ederken cookilerinizi silin, güvenilir alışveriş sitelerinden alış veriş yapın. Site tasarlayanlar ve kod geliştiriciler açısından da en iyi yöntem sürekli,her sayfada kimlik kontrolü yapmak olacaktır..

Güvenilirden kastım adının sanının büyük olmasından ziyade sanal güvenlik önlemleridir, kullandıkları güvenlik sistemleri hakkında bilgi sahibi olun bunlar için birkaç dakika ayırmamanız size binlerce dolara mal olabilir.
Bugün 48 ziyaretçi (52 klik) kişi burdaydı!
Bu web sitesi ücretsiz olarak Bedava-Sitem.com ile oluşturulmuştur. Siz de kendi web sitenizi kurmak ister misiniz?
Ücretsiz kaydol