Bölüm 9: Siteler Arası İstek Sahteciliği (CSRF)

Klavye Delikanlıları ’lerinin 9. bölümünde ’nde OWASP Top 10 listesinde popülaritesi düşük gözüken ama web uygulamalarında çokça karşılaştığımız (Cross-Site Request Forgery / Siteler Arası İstek Sahteciliği) zafiyetinden bahsettik.

CSRF zafiyetini konuşmak için Web Güvenlik Uzmanı Barış Sağdıç’ı (@brsgdc) misafirimiz ettik.

Artık o kadar çok internet ile haşır neşiriz ki onlarca – yüzlerce siteye üye olabiliyoruz, hatta en sık kullandığımız web sitelerinde oturumlarımızı kapatmıyoruz bile değil mi?

İşte bu noktada, CSRF zafiyetinin yer aldığı web siteleri ile tarayıcımız arasında kimliğimizi taşıyan cookie (çerez) bilgilerinin ne kadar değerli olduklarının ve güvenilir sandığımız, ziyaret ettiğimiz sitelerin farkında olmadan çerez bilgilerimiz ile nasıl şifrelerimizi değiştirebildiklerinden bahsettik. CSRF ile göz açıp kapatıncaya kadar farkında olmadan başımıza neler, nasıl geliyormuş, güvenlik önlemleri arasında antiforgery-token, cors (cross origin resource sharing), samesite-cookie gibi yeni feature lari ele aldık.

Zafiyeti daha iyi anlamak için Yandex, Paypal, Facebook gibi popüler sitelerde bile sık sık karşılaşılan CSRF zafiyetlerini de sizler için anlattık.

Mustafa ve Ziyahan’ın bahsettiği siteler:
https://www.netsparker.com/blog/web-security/csrf-vulnerability-yandex-browser/
https://threatpost.com/paypal-fixes-csrf-vulnerability-in-paypal-me/119435/
http://www.blackhat.com/us-16/briefings.html#timing-attacks-have-never-been-so-practical-advanced-cross-site-search-attacks 
http://www.cgisecurity.com/2009/04/amazon-csrf-hack-in-detail.html
http://www.superlogout.com > Tehlikeli bir site 🙂
https://www.netsparker.com.tr/blog/web-guvenligi/OWASP-Proactive-Controls/
http://thehackernews.com/2016/12/hack-facebook-messenger-chats.html

Barış’ın bahsettiği siteler:
https://www.baris-sagdic.com/advanced-csrf-attacks-with-xhr/
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
http://www.cynet.com/wp-content/uploads/2016/12/Blog-Post-BugSec-Cynet-Facebook-Originull.pdf

Youtube Dinle:

Mustafa Yalçın
Güvenlik sektöründe başarılı olabilmek için lise yıllarında yazılım öğrenmeyi kendine iş edinip, web yazılımları üzerine yeterince program yazdıktan sonra güvenlik kasan, Düzce doğumlu, Marmara Mezunu, Bitcoin ve Gizlilik konularına özel ilgi duyan sen gibi birisi

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir