Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
YayınlayanGuz Ozkul Değiştirilmiş 9 yıl önce
1
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org CSRF SALDIRILARI 23 ARALIK 2008
2
2 CSRF CSRF Nedir? Güvensiz Kod Yazılması ve CSRF Saldırısı CSRF saldırısı açıklığını farkına varmak CSRF saldırısını önlemek
3
CSRF NEDİR? Saldırganın hazırlamış olduğu kötü niyetli web sitesinin, CSRF açıklığının bulunduğu bir web sitesine kullanıcının haberi olmadan işlemler yaptırabilmesidir.
4
GÜVENSİZ KOD YAZMA ve CSRF Saldırısı
5
İnternette çoğu sitede önlem yok. Uyuyan dev olarak adlandırılıyor (Sleeping-giant) CSRF Saldırısı ile banka hesabından para transferi, e-mail hesabında ayarları değiştirme, e-mail gönderme gibi saldırılar gerçekleştirilebilir.
6
GÜVENSİZ KOD YAZMA ve CSRF Saldırısı Kullanıcıdan gelen istekler: Gelen her istek kullanıcının bilerek gönderdiği istekler olmayabilir. Geliştiriciler saldırıyı bilmiyor. Saldırının etkileri önemsenmiyor.
7
CSRF SALDIRISI AÇIKLIĞINI FARKINA VARMAK Kullanıcıdan gelen her istek kullanıcının isteğiyle gelmeyebilir. Webscarab, Paros gibi proxy programlarını kullanarak sayfalar üzerinde test yapmak.
8
CSRF SALDIRISI ÖNLENMESİ Uygulamanın kritikliğine, performansına, metodun uygulanabilirliğine göre metodlardan uygun olanlar seçilmeli. GET istekleriyle verileri değiştirmek yerine verilerin okumak. Kriptografik değer üreterek oturumda bu değeri saklamak. Kullanıcıdan gelen bu değerin oturumda tutulan değerle aynı olmasını beklemek.
9
KAYNAKLAR http://jeremiahgrossman.blogspot.com/2006/09 /csrf-sleeping-giant.html http://jeremiahgrossman.blogspot.com/2006/09 /csrf-sleeping-giant.html Cross-Site Request Forgeries: Exploitation and Prevention, William Zeller and Edward W. Felten. http://www.webguvenligi.org/wp- content/uploads/2008/01/anket/index.htm http://www.webguvenligi.org/wp- content/uploads/2008/01/anket/index.htm http://www.cgisecurity.com/articles/csrf- faq.shtml http://www.cgisecurity.com/articles/csrf- faq.shtml Cross-Site Request Forgeries – An introduction to common web application weakness
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.