Klavye Delikanlıları Podcast’lerinin 9. bölümünde Web Güvenliği’nde OWASP Top 10 listesinde popülaritesi düşük gözüken ama web uygulamalarında çokça karşılaştığımız CSRF (Cross-Site Request Forgery / Siteler Arası İstek Sahteciliği) zafiyetinden bahsettik.
CSRF zafiyetini konuşmak için Web Güvenlik Uzmanı Barış Sağdıç’ı (@brsgdc) misafirimiz ettik.
Artık o kadar çok internet ile haşır neşiriz ki onlarca – yüzlerce siteye üye olabiliyoruz, hatta en sık kullandığımız web sitelerinde oturumlarımızı kapatmıyoruz bile değil mi?
İşte bu noktada, CSRF zafiyetinin yer aldığı web siteleri ile tarayıcımız arasında kimliğimizi taşıyan cookie (çerez) bilgilerinin ne kadar değerli olduklarının ve güvenilir sandığımız, ziyaret ettiğimiz sitelerin farkında olmadan çerez bilgilerimiz ile nasıl şifrelerimizi değiştirebildiklerinden bahsettik. CSRF ile göz açıp kapatıncaya kadar farkında olmadan başımıza neler, nasıl geliyormuş, güvenlik önlemleri arasında antiforgery-token, cors (cross origin resource sharing), samesite-cookie gibi yeni feature lari ele aldık.
Zafiyeti daha iyi anlamak için Yandex, Paypal, Facebook gibi popüler sitelerde bile sık sık karşılaşılan CSRF zafiyetlerini de sizler için anlattık.
Mustafa ve Ziyahan’ın bahsettiği siteler:
https://www.netsparker.com/blog/web-security/csrf-vulnerability-yandex-browser/
https://threatpost.com/paypal-fixes-csrf-vulnerability-in-paypal-me/119435/
http://www.blackhat.com/us-16/briefings.html#timing-attacks-have-never-been-so-practical-advanced-cross-site-search-attacks
http://www.cgisecurity.com/2009/04/amazon-csrf-hack-in-detail.html
http://www.superlogout.com > Tehlikeli bir site 🙂
https://www.netsparker.com.tr/blog/web-guvenligi/OWASP-Proactive-Controls/
http://thehackernews.com/2016/12/hack-facebook-messenger-chats.html
Barış’ın bahsettiği siteler:
https://www.baris-sagdic.com/advanced-csrf-attacks-with-xhr/
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
http://www.cynet.com/wp-content/uploads/2016/12/Blog-Post-BugSec-Cynet-Facebook-Originull.pdf
Youtube Dinle:
İndir & Dinle:SoundCloud
İletişim
email: [email protected]
facebook: https://www.facebook.com/KlavyeDelikanlilari
twitter: https://www.twitter.com/DelikanliKlavye