Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

YayınlayanGuz Ozkul Değiştirilmiş 9 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Sunum transkripti:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org CSRF SALDIRILARI 23 ARALIK 2008

2 2 CSRF  CSRF Nedir?  Güvensiz Kod Yazılması ve CSRF Saldırısı  CSRF saldırısı açıklığını farkına varmak  CSRF saldırısını önlemek

3 CSRF NEDİR?  Saldırganın hazırlamış olduğu kötü niyetli web sitesinin, CSRF açıklığının bulunduğu bir web sitesine kullanıcının haberi olmadan işlemler yaptırabilmesidir.

4 GÜVENSİZ KOD YAZMA ve CSRF Saldırısı

5  İnternette çoğu sitede önlem yok. Uyuyan dev olarak adlandırılıyor (Sleeping-giant)  CSRF Saldırısı ile banka hesabından para transferi, e-mail hesabında ayarları değiştirme, e-mail gönderme gibi saldırılar gerçekleştirilebilir.

6 GÜVENSİZ KOD YAZMA ve CSRF Saldırısı  Kullanıcıdan gelen istekler: Gelen her istek kullanıcının bilerek gönderdiği istekler olmayabilir.  Geliştiriciler saldırıyı bilmiyor.  Saldırının etkileri önemsenmiyor.

7 CSRF SALDIRISI AÇIKLIĞINI FARKINA VARMAK  Kullanıcıdan gelen her istek kullanıcının isteğiyle gelmeyebilir.  Webscarab, Paros gibi proxy programlarını kullanarak sayfalar üzerinde test yapmak.

8 CSRF SALDIRISI ÖNLENMESİ  Uygulamanın kritikliğine, performansına, metodun uygulanabilirliğine göre metodlardan uygun olanlar seçilmeli.  GET istekleriyle verileri değiştirmek yerine verilerin okumak.  Kriptografik değer üreterek oturumda bu değeri saklamak. Kullanıcıdan gelen bu değerin oturumda tutulan değerle aynı olmasını beklemek.

9 KAYNAKLAR  http://jeremiahgrossman.blogspot.com/2006/09 /csrf-sleeping-giant.html http://jeremiahgrossman.blogspot.com/2006/09 /csrf-sleeping-giant.html  Cross-Site Request Forgeries: Exploitation and Prevention, William Zeller and Edward W. Felten.  http://www.webguvenligi.org/wp- content/uploads/2008/01/anket/index.htm http://www.webguvenligi.org/wp- content/uploads/2008/01/anket/index.htm  http://www.cgisecurity.com/articles/csrf- faq.shtml http://www.cgisecurity.com/articles/csrf- faq.shtml  Cross-Site Request Forgeries – An introduction to common web application weakness

"Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP." indir ppt

Benzer bir sunumlar

1 Seminer wikileaks çağında bilgi sızması Mahrem bilgilerinizi, ticari sırlarınızı, entellektüel sermayenizi koruyun Çorlu / Tekirdağ 19.01.2011.

1 Seminer wikileaks çağında bilgi sızması Mahrem bilgilerinizi, ticari sırlarınızı, entellektüel sermayenizi koruyun Çorlu / Tekirdağ
Ahmet DERVİŞ Ahmet DERVİŞ LKD Seminerleri Linux Kullanıcıları Derneği

Ahmet DERVİŞ Ahmet DERVİŞ LKD Seminerleri Linux Kullanıcıları Derneği
Hüseyin Gömleksizoğlu

Hüseyin Gömleksizoğlu
USTA BULUŞMA NOKTASI Merhaba,

USTA BULUŞMA NOKTASI Merhaba,
Performans Odaklı Sponsor Reklam Kampanyaları Mart – Aralık 2013

Performans Odaklı Sponsor Reklam Kampanyaları Mart – Aralık 2013
Web 2.0 Nedir Eğitimde Nasıl Kullanılır?

Web 2.0 Nedir Eğitimde Nasıl Kullanılır?
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.

IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
Support.ebsco.com CINAHL Plus with Full Text Temel Arama Kullanıcı Kılavuzu 18.01.2012.

Support.ebsco.com CINAHL Plus with Full Text Temel Arama Kullanıcı Kılavuzu
Türkçe Eğitimi için site incelemesi

Türkçe Eğitimi için site incelemesi
İnternet Sitemizi Açarız! Çok Heyecanlıyız !. Fakat Ziyaretçi Gelmez..

İnternet Sitemizi Açarız! Çok Heyecanlıyız !. Fakat Ziyaretçi Gelmez..
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Ardesenmyo.wordpress.com.

Ardesenmyo.wordpress.com.
Oracle Kurulumu.

Oracle Kurulumu.
WEB YAZILIMLARININ ZAYIFLIKLARI VE KARŞILAŞILABİLCECEK SALDIRI TİPLERİ

WEB YAZILIMLARININ ZAYIFLIKLARI VE KARŞILAŞILABİLCECEK SALDIRI TİPLERİ
Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
YZM Yazılım Doğrulama ve Geçerlileme

YZM Yazılım Doğrulama ve Geçerlileme
Web Hacking Yöntemleri

Web Hacking Yöntemleri
Bilgisayar Dosya Uzantıları

Bilgisayar Dosya Uzantıları
Kişisel Web Sayfaları Kullanım Bilgileri

Kişisel Web Sayfaları Kullanım Bilgileri
Bilişim Teknolojileri ve Yazılım

Bilişim Teknolojileri ve Yazılım

Benzer bir sunumlar

Google Reklamları