Siber Güvenlik

CSRF (Cross-Site Request Forgery) Saldırısı Nedir, Nasıl Önlenir?

Cross-Site Request Forgery

CSRF (Cross-Site Request Forgery) saldırıları, bir web uygulamasının kullanıcının bilgisi olmadan, kullanıcının yetkileri dahilinde bir isteği gerçekleştirmesini amaçlar. Bu saldırı türü, genellikle bir web sitesinde güvenliği açık olan bir form veya link kullanılarak gerçekleştirilir. Örneğin, bir banka hesabına para transferi yapmak için kullanılan bir formun güvenliği açık olduğu takdirde, saldırgan başka bir web sitesinde kullanıcıya gizli bir link sunarak, kullanıcının banka hesabına para transferi yapmasını sağlayabilir.

CSRF saldırılarının önlenmesi için birçok yöntem mevcuttur. En yaygın kullanılan yöntemler şunlardır:

  1. Synchronizer Token Pattern: Bu yöntem, web uygulamasına özel bir token ekler ve bu token her istekte kullanıcının tarayıcısından alınır. Bu sayede, sadece kullanıcının tarayıcısından gelen istekler geçerlidir. Örneğin, bir banka hesabına para transferi yapmak için kullanılan bir formda, formun gizli bir alanında bir token bulunur ve her istekte bu token tarayıcıdan alınır. Bu sayede saldırganın oluşturduğu bir linkte bu token bulunmadığı için istek geçersiz sayılır.
  2. Same-Site Cookies: Bu yöntem, tarayıcının cookie’lerinin nasıl kullanılacağını belirler ve bu sayede sadece aynı web sitesinden gelen istekler geçerlidir. Örneğin, bir banka sitesinde kullanıcı oturum açtığında, tarayıcıya bir cookie gönderilir ve bu cookie sadece o banka sitesinden gelen istekler için geçerlidir.
  3. Captcha: Bu yöntem, saldırganın gerçek bir kullanıcı olduğunu doğrulamak için kullanıcıya bir görsel veya metin sorusu sorar. Örneğin, bir banka hesabına para transferi yapmak için kullanılan bir formda, saldırganın gerçek bir kullanıcı olduğunu doğrulamak için Captcha kullanılabilir. Bu sayede, saldırganın gerçek bir kullanıcı olmadığı anlaşıldığında, istek reddedilir.
  1. Referrer Check: Bu yöntem, bir isteğin kaynağını kontrol eder ve sadece aynı web sitesinden gelen istekleri kabul eder. Örneğin, banka sitesinde kullanıcı oturum açtığında, her istekte kullanıcının o an hangi sayfada olduğu bilgisi gönderilir ve banka sitesi sadece o sayfadan gelen istekleri kabul eder.
  2. HTTP Only ve Secure Flag: Bu yöntem, cookie’lerin sadece HTTPS üzerinden ve sadece tarayıcı tarafından erişilebilecek şekilde ayarlanmasını sağlar. Örneğin, banka sitesinde kullanıcı oturum açtığında, tarayıcıya gönderilen cookie sadece HTTPS üzerinden erişilebilir ve sadece tarayıcı tarafından okunabilir hale getirilir. Bu sayede saldırganın, cookie’yi ele geçirerek istek yapması engellenir.

Sonuç olarak, CSRF saldırıları web uygulamaları için ciddi bir güvenlik riskidir. Ancak, bu saldırıları önlemek için mevcut yöntemler ve araçlar vardır. Geliştiricilerin bu yöntemleri kullanması ve web uygulamalarını düzenli olarak taraması, CSRF saldırılarından korunmayı sağlar. Ayrıca, kullanıcıların dikkatli olması ve düzenli olarak tarama yapması gereken sitelerde oturumlarını kapatmaları gerekmektedir.

Atahan

SEO Master & Python Development - CEO Of Analist.org
Başa dön tuşu