Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Benzer bir sunumlar


... konulu sunumlar: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Sunum transkripti:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation CSRF SALDIRILARI 23 ARALIK 2008

2 2 CSRF  CSRF Nedir?  Güvensiz Kod Yazılması ve CSRF Saldırısı  CSRF saldırısı açıklığını farkına varmak  CSRF saldırısını önlemek

3 CSRF NEDİR?  Saldırganın hazırlamış olduğu kötü niyetli web sitesinin, CSRF açıklığının bulunduğu bir web sitesine kullanıcının haberi olmadan işlemler yaptırabilmesidir.

4 GÜVENSİZ KOD YAZMA ve CSRF Saldırısı

5  İnternette çoğu sitede önlem yok. Uyuyan dev olarak adlandırılıyor (Sleeping-giant)  CSRF Saldırısı ile banka hesabından para transferi, hesabında ayarları değiştirme, gönderme gibi saldırılar gerçekleştirilebilir.

6 GÜVENSİZ KOD YAZMA ve CSRF Saldırısı  Kullanıcıdan gelen istekler: Gelen her istek kullanıcının bilerek gönderdiği istekler olmayabilir.  Geliştiriciler saldırıyı bilmiyor.  Saldırının etkileri önemsenmiyor.

7 CSRF SALDIRISI AÇIKLIĞINI FARKINA VARMAK  Kullanıcıdan gelen her istek kullanıcının isteğiyle gelmeyebilir.  Webscarab, Paros gibi proxy programlarını kullanarak sayfalar üzerinde test yapmak.

8 CSRF SALDIRISI ÖNLENMESİ  Uygulamanın kritikliğine, performansına, metodun uygulanabilirliğine göre metodlardan uygun olanlar seçilmeli.  GET istekleriyle verileri değiştirmek yerine verilerin okumak.  Kriptografik değer üreterek oturumda bu değeri saklamak. Kullanıcıdan gelen bu değerin oturumda tutulan değerle aynı olmasını beklemek.

9 KAYNAKLAR  /csrf-sleeping-giant.html /csrf-sleeping-giant.html  Cross-Site Request Forgeries: Exploitation and Prevention, William Zeller and Edward W. Felten.  content/uploads/2008/01/anket/index.htm content/uploads/2008/01/anket/index.htm  faq.shtml faq.shtml  Cross-Site Request Forgeries – An introduction to common web application weakness


"Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP." indir ppt

Benzer bir sunumlar


Google Reklamları