SK

Çerez Kullanımı

Bu web sitesi, deneyiminizi iyileştirmek ve site kullanımını analiz etmek için çerezler kullanmaktadır. Gizlilik Politikası sayfamızdan detaylı bilgi alabilirsiniz. Çerezleri kabul ederek, KVKK kapsamında verilerinizin işlenmesine onay vermiş olursunuz.

Samet Karabulut - Siber Güvenlik ve Cross-Site Request Forgery (CSRF) Zafiyeti
#SIBERGüVENLIK #CROSS-SITEREQUESTFORGERY #CSRF #WEBUYGULAMAGüVENLIğI #SıZMATESTI

Siber Güvenlik ve Cross-Site Request Forgery (CSRF) Zafiyeti

Samet Karabulut

April 3, 2026

2 min read

Giriş

Siber güvenlik alanında deneyimime göre, web uygulamalarında karşılaşılan en kritik zafiyetlerden biri Cross-Site Request Forgery (CSRF) zafiyetidir. Bu zafiyet, saldırganların kurbanın hesabında yetkisiz işlemler gerçekleştirmelerine olanak tanır. Sızma testlerinde sıklıkla karşılaştığım bu zafiyet, uygun önlemler alınmadığında ciddi güvenlik sorunlarına yol açabilir.

CSRF zafiyeti, genellikle web uygulamalarının istemci tarafında oluşan bir zafiyettir. Saldırganlar, kurbanın oturumunu ele geçirmek yerine, kurbanın hesabında yetkisiz işlemler gerçekleştirmek için kurbanın tarayıcısını kullanır. Bu, genellikle kurbanın bir linki tıklaması veya bir formu doldurmasıyla gerçekleşir.

CSRF Zafiyetinin Tespiti

CSRF zafiyetinin tespiti için kullanılan araçlar arasında Nmap, Nikto ve Burp Suite bulunur. Bu araçlar, web uygulamasının istemci tarafındaki zafiyetleri tespit etmek için kullanılır.

nmap -sV -p 80

Yukarıdaki komut, hedef IP adresinin 80. portunda çalışan web uygulamasının sürümünü tespit eder.

CSRF Zafiyetinin Sömürülmesi

CSRF zafiyetinin sömürülmesi için, saldırganlar genellikle JavaScript kodu kullanır. Bu kod, kurbanın tarayıcısında çalıştırılır ve kurbanın hesabında yetkisiz işlemler gerçekleştirir.

var xhr = new XMLHttpRequest();
xhr.open('POST', '/para-transferi', true);
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send('miktar=1000&hesap_no=123456789');

Yukarıdaki kod, kurbanın hesabından 1000 TL tutarında para transferini gerçekleştirir.

CSRF Zafiyetinin Çözümü

CSRF zafiyetinin çözümü, genellikle web uygulamasının istemci tarafında gerçekleştirilir. Çözüm için, web uygulaması geliştiricileri tarafından aşağıdaki adımlar uygulanabilir:

1. Her istek için benzersiz bir token oluşturulmalıdır.

2. Bu token, istemci tarafında saklanmalıdır.

3. Her istekte, bu token gönderilmelidir.

4. Sunucu tarafında, bu token doğrulanmalıdır.

SONUÇ

CSRF zafiyeti, web uygulamalarında karşılaşılan kritik bir güvenlik sorunudur. Bu zafiyetin önlenmesi için, web uygulaması geliştiricileri tarafından gerekli önlemler alınmalıdır. Sızma testleri ve kırmızı takım deneyimi, bu zafiyetin tespit edilmesinde ve önlenmesinde önemli bir rol oynar.

Yorumlar

Henüz yorum yok. İlk yorumu sen yap.