(Cross Site Request Forgery) CSRF, XSRF Açığı Nedir ?

Cross Site Request Forgery (CSRF/XSRF/Session Riding) saldırıları tam olarak “güven sömürü süne” dayanır. Bir web uygulamasına yapılcak olan saldırılar çeşitli yöntemlerle engellenmiş olabilir. Ancak bu en­gellemeler genelde tanımlı ve güvenilen kullanıcılardan ziyade, dışarı­dan gelebilecek saldırılara karşı yap ılır. XSRF saldırıları da web uygu­lamaları tarafından daha önce tanımlanan , bir oturum (session) oluştu­rulan yani güvenilen bir kullanıcı üzerinden yapılır. İki

Cross Site (XSS/XSRF) saldırılarını karşılaştıralım

Cross Site Scripting saldırılarında amaç tanımlama bilgileri olsa da he­def web uygulaması. İlgili uygulamaya (daha önce değindiğimiz) çe­ şitli kodlar gömülerek XSS açtkları oluşturulur ve bu açıklar kullanıla­rak kullanıcı cookieleri çalınır, demiştik. Cross Site Request Forgery saldırılarında ise durum biraz daha farklıdır. Bu saldırılarda doğrudan web uygulaması değil , kullanıcı hedeftedir. Uygulamalara, daha önce

doğrulanan kuUanıcılar üzerinden komutlar göndererek saldın yapılır. Yani özetle, XSS saldırılarında kulİanıcıya daha önce güvendiği siteler üzerinden saldırı yapı lırken , XSRF saldırılarında sitenin daha önce gü­ vendiği kullanıcılar üzerinden saldırı yapılır.

Örnekle açıklayalım : ABC.COM bir alışveriş sitesidir. A kullanıcısı ABC.COM sitesine gü­ venmektedir ve online alışveriş için bu siteyi kullanmaktadır. ABC.COM’da A kullanıcısını tanımlamıştır ve kullanıcı için oturum açmıştır. B kullanıcısı ise saldırgandır.

B kullanıcısının uygulayacağı XSS: ABC.COM alışveriş sitesinde XSS açığı olup olmadığını kontrol ede­ cektir. Olası bir açığı kullanarak A kullanıcısının tanımlama bilgilerini ele geçirecek, ele geçirdiği bilgileri de derleyip kullanıcı yerine oturum açacaktır.

B kullanıcısının uygulayacağı XSRF: ABC.COM alışveriş sitesi A kullanıcısını doğruladığı için, site üzerin­ de açık bulma ile uğraşmayıp A kullanıcısı üzerinden saldırı gerçekleş­ tirecektir.

Cross Site Request Forgery Korunma Yöntemleri

• XSS’den Korunun
Cross Site Request Forgery saldırılarından korunabilmek için öncelikle XSS saldırılarından da korunması gereklidir. XSS saldırılan XSRF sal­ dırılarına da kapı açabilir.

• Kullanıcı Bazında Güvenlik
XSRF saldırıları kullanıcı üzerinden yapılsa da, kullanıcı kaynaklı bir açık değildir. Ancak etkilenen kullanıcı olduğundan dolayı, bazı önlem­lerin alınması gereklidir.Kullanıcı bazında güvenlik şu şekilde sağlanabilir;
• Web sayfalardan çıkarken, açık olan oturum kapatılmalıdır.
• Kayıtlı Cookie’ler bilgisayarda uzun süre tutulmamalıdır. Tarayıcının her kapandığında cookieleri silmeleri sağlanabilir.
• Tanımadıkları adreslerden gelen mailleri açmamalıdırlar ve mail sağla­ yıcı tarafından filtrelenen içeriği (resim gibi) görüntülememelidirler.

Web Uygulama Bazında Güvenlik
• Kimlik Doğrulama Seviyesini Artırın: Uygulamanızda standa rt kim­ lik doğrulama işlemlerinin yanı sıra, spesifik işlemlerde de kimlik doğ­ rulama uygulayın.
• Token Kullanın: Kayıtların gerçek şahıslar tarafından girildiğini doğ­ rulamak için Token kullanabilirsiniz. Token statik olmamalı, her form ve link için ayn olmalıdır veya tokenler için bitiş süresi verilmelidir.
• HTTP Referrer Başlığını Kontrol Edin: Uygulama yöneticileri HTTP Referrer başlığından faydalanarak, ilgili web sayfaya giriş yapan kulla­ nıcıların geldikleri kaynaklan öğrenebilir. HTTP Referrer kontrolü ile gelen HTTP isteklerinin yetkili bir sayfadan gelip gelmediği veya sayfa başlığı olup olmadığı öğrenilebilir, sadece güvenilen kaynaklardan ge­ len istekler kabul edilebilir. Ancak bu yöntemle XSRF saldırılarının kontrolü belirli oranda sağlanabilir. Saldırılar spoof edilerek yapılırsa bu önlem işe yaramayacaktır.
• Cookielerin Geçerlilik Süresi Gözden Geçirilmelidir: Tanımlamabilgileri olan Cookie’Jerin kullanıcı bilgisayarında uzun müddet kalma­ sı ve geçerlilik tarihinin uzun olm ası, X.SRF saldırılarının etkinliğini ar­ tıracaktır. O nedenle cookielerin geçerlilik tarihleri kısıtlanmalıdır.
Bilinenlerin aksine uygulamalarda GET yerine POST kullanımı XSRF saldırılarını engellemeyecektir. JavaScript kullanılarak bu önlem geçer­ siz kılınabilir.

Yazan; X-master

Yorum Yap

E-posta hesabınız yayımlanmayacak. Doldurulması zorunlu alanlar işaretlendi *