Kategoriler
CloudFlare

Siteler Arası İstek Sahteciliği (CSRF) nedir?

Siteler Arası İstek SahteciliğiÖğrenme hedefleri

Siteler arası istek sahteciliği saldırısı, bir kullanıcıyı hesabından para transferi, e-posta adresini ve şifresini değiştirme veya diğer bazı istenmeyen durumları değiştirme gibi durum değiştiren bir etkinliği başlatmak için yanlışlıkla kimlik bilgilerini kullanması için kandıran bir tür kafa karıştırıcı yardımcı * siber saldırısıdır. aksiyon.

Normal bir kullanıcıya yönelik potansiyel etki önemli olsa da, bir yönetici hesabına yönelik başarılı bir CSRF saldırısı, tüm sunucuyu tehlikeye atabilir ve potansiyel olarak bir web uygulamasının, API’nin veya başka bir hizmetin tamamen devralınmasıyla sonuçlanabilir.

Siteler Arası İstek Sahteciliği Nasıl Çalışır?

Bu saldırı, verilerin bir değerden diğerine değiştirilmesine neden olan istek türünü ifade eden, durumu değiştiren istekleri hedeflemeye odaklanır. Örneğin, hedeflenen bir talep, bir satın alma işlemi yapabilir veya bir hesaptaki bir değeri değiştirebilir. İlginç bir şekilde, bu bir “kör saldırı” dır ve verileri saldırgana geri döndürmez, bu da onu veri hırsızlığı için kötü bir seçim haline getirir .

Siteler arası istek sahteciliği saldırısındaki 4 adımın bir örneğini burada bulabilirsiniz:

  1. Bir saldırgan, çalıştırıldığında belirli bir bankadan saldırganın hesabına 10.000 ABD doları aktaracak sahte bir istek oluşturur.
  2. Saldırgan sahte isteği bir köprüye yerleştirir ve bunu toplu e-postalar halinde gönderir ve ayrıca web sitelerine yerleştirir.
  3. Bir kurban, saldırgan tarafından yerleştirilen bir e-postaya veya web sitesi bağlantısına tıklar ve bu da kurbanın bankadan 10.000 ABD doları havale talebinde bulunmasıyla sonuçlanır.
  4. Banka sunucusu talebi alır ve mağdur uygun şekilde yetkilendirildiği için talebi meşru kabul eder ve parayı transfer eder.

CSRF saldırıları metodolojiye göre değişir, ancak tipik olarak aşağıdaki özelliklere sahiptir:

  1. Bir kullanıcının kimliğine dayanan web sitelerinden yararlanıyorlar
  2. Hedeflenen siteye HTTP istekleri göndermesi için kullanıcının tarayıcısını kandırırlar
  3. Yan etkileri olan ve uygun CSRF korumalarına sahip olmayan HTTP isteklerini kullanmayı içerirler.

Farklı HTTP fiilleri, CSRF saldırılarına karşı çeşitli güvenlik açıklarına sahiptir ve bu da değişken koruma stratejilerine yol açar. Bunun nedeni, web tarayıcılarının fiilleri farklı şekilde ele almasıdır.

HTTP GET isteklerinde, değiştirilebilen ve kötüye kullanılabilen görüntü etiketlerinin içindekiler gibi gömülü parametreler vardır. Tipik olarak, GET istekleri durumu değiştirmez, bu da onları uygun şekilde uygulanan bir web uygulaması veya diğer kaynaklar için CSRF’nin hedefleri olarak etkisiz hale getirir.

HTTP POST, durumu değiştirmek için kullanılır ve bu da artan koruma ihtiyacıyla sonuçlanır. Bu amaçla, web tarayıcıları, çapraz kaynak güvenlik politikasını içeren aynı kaynak politikası (SOP) ve çapraz kaynaklı kaynak paylaşımı (CORS) adı verilen güvenlik önlemlerini uygular. SOP yalnızca aynı kaynaktan gelen isteklere izin verir ve CORS yalnızca belirli türdeki isteklerin farklı bir kaynaktan gelmesine izin verir. Bu uygulamaların kombinasyonu, bir isteğin veya web sayfasının farklı bir kaynakla etkileşim kurma yeteneğini sınırlayarak CSRF saldırılarını (diğerlerinin yanı sıra) önlemeye yardımcı olur.

PUT ve DELETE gibi diğer HTTP fiilleri yalnızca SOP ve CORS kullanılarak çalıştırılabilir ve birçok siteler arası saldırıyı azaltır.

Yaygın olmasa da, bazı web siteleri bu güvenlik önlemlerini açıkça devre dışı bırakır ve bunları bir web tarayıcısının içinde de devre dışı bırakmak mümkündür.

Siteler Arası İstek Sahteciliği nasıl hafifletilebilir?

CSRF saldırılarını azaltmak için en yaygın metodoloji, iki yöntemden birini kullanarak Anti-CSRF belirteçlerini kullanmayı içerir. Belirteç uygulamaları biraz farklı olsa da, temel ilke aynı kalır; rastgele oluşturulmuş bir simge dizesi oluşturup ardından karşılaştırarak, bir saldırganın istisnai olarak olası olmayan bir tahmin olmadan saldırı gerçekleştirme olasılığı daha düşüktür.

Eşitleyici jeton kalıbı:

Bir kullanıcı, para transferine izin veren banka web sayfası gibi bir web sayfasını ziyaret ettiğinde, bankanın web sitesi forma rastgele bir belirteç yerleştirir. Kullanıcı formu gönderdiğinde, rastgele jeton döndürülür ve banka iki jetonun eşleşip eşleşmediğini kontrol edebilir. Jetonlar eşleşirse, transfer gerçekleşir. Saldırganın web sayfasında oluşturulan rastgele belirteç değerine erişme yolu yoktur ve sayfayı isterse, aynı kaynak ilkesi saldırganın yanıtı okumasını engelleyecektir.

Bu yöntemin hafifletilmesinin dezavantajı, sunucu tarafındaki her talepte belirteçlerin geçerliliğini kontrol etme yükünü artırmasıdır . Ayrıca, bir kullanıcının birden çok tarayıcı penceresine veya istekte bulunan farklı yazılımları içeren diğer koşullara sahip olması durumunda da sorunlar oluşturabilir. Belirtecin kapsamını istek başına yerine oturum başına genişleterek, bu zorluğun bir kısmının önüne geçilebilir.

Çerezden başlığa jeton:

Diğer bir yöntem, ziyaretçinin web tarayıcısına rastgele bir belirteç içeren bir çerez gönderilmesini içerir. İstemci tarafında çalışan JavaScript, tanımlama bilgisindeki belirtecin değerini okuyacak ve her istekte gönderilecek bir HTTP başlığına kopyalayacaktır. Kullanıcıdan gerçek bir istek gönderilirse, başlıktaki değer sunucu tarafından doğrulanabilir. Diğer tüm örnekler başarısız olur ve başarılı bir saldırıyı azaltır.

Bir WAF aracılığıyla özel kuralları kullanarak , kullanıcılar belirli CSRF saldırılarını önlemeye yardımcı olabilir. Cloudflare’nin Web Uygulama Güvenlik Duvarını keşfedin .

Hayat Paylaşınca Güzel: