CSRF (Cross-Site Request Forgery), bir saldırganın kullanıcıları gerçekleştirmeyi düşünmedikleri eylemleri gerçekleştirmeye teşvik etmesine olanak tanıyan bir web güvenlik açığıdır. CSRF saldırısının mümkün olabilmesi için üç temel koşulun mevcut olması gerekir: İlgili bir eylem. Çerez tabanlı oturum yönetimi. Öngörülemeyen istek parametresi. CSRF saldırılarının bazı potansiyel tehlikeleri şunlardır: yetkisiz işlem yapmak; hesap ayarlarını değiştirmek, şifreleri yenilemek gibi işlemlerle saldırganın mağdurun adına hareket etmesi; online bankacılık veya e-ticaret sitelerine yapılan CSRF saldırılarının, onay olmadan finansal hesaplardan para akışı olması; kişisel bilgilerin değiştirilmesi veya çalınması; kimlik hırsızlığı ve daha geniş çapta güvenlik sorunlarına yol açılması. CSRF saldırılarından korunmak için CSRF token ve SameSite cookie gibi yöntemler kullanılabilir.

XSS (Cross-Site Scripting), bilgisayar korsanlarının web sitelerindeki güvensiz alanlara kötü niyetli kodlar ekleyerek gerçekleştirdiği bir saldırı türüdür. XSS saldırıları genellikle üç şekilde gerçekleşir: Stored XSS (Depolama XSS). Reflected XSS (Yansıtma XSS). DOM XSS. XSS saldırılarının bazı sonuçları: Kullanıcıların oturum bilgileri ve kişisel verileri gibi hassas bilgilere erişim sağlanabilir. Kullanıcılar, başka tehlikeli sitelere yönlendirilebilir. Web tarayıcısı tabanlı açıklardan yararlanılabilir (örneğin, tarayıcının çökmesine yol açılabilir). XSS saldırılarından korunmak için giriş doğrulaması ve veri temizleme, Content Security Policy (CSP) kullanımı, HTTP Only ve Secure flag’lerinin kullanımı gibi önlemler alınabilir.

Buradasın

CSRF nedir?

Yazeka

Arama sonuçlarına göre oluşturuldu

CSRF (Cross-Site Request Forgery), bir saldırganın kullanıcıları gerçekleştirmeyi düşünmedikleri eylemleri gerçekleştirmeye teşvik etmesine olanak tanıyan bir web güvenlik açığıdır 1 2 4.

CSRF saldırısının mümkün olabilmesi için üç temel koşulun mevcut olması gerekir:

İlgili bir eylem 1. Uygulama içerisinde saldırganın neden olduğu bir eylem vardır 1.
Çerez tabanlı oturum yönetimi 1. Eylemin gerçekleştirilmesi, bir veya daha fazla HTTP isteği göndermeyi içerir ve uygulama, istekleri yapan kullanıcıyı belirlemek için yalnızca session cookie bilgilerini kullanır 1.
Öngörülemeyen istek parametresi 1. Eylemi gerçekleştiren istekler, saldırganın değerlerini belirleyemeyeceği veya tahmin edemeyeceği herhangi bir parametre içermez 1.

CSRF saldırılarının bazı potansiyel tehlikeleri şunlardır:

yetkisiz işlem yapmak 2;
hesap ayarlarını değiştirmek, şifreleri yenilemek gibi işlemlerle saldırganın mağdurun adına hareket etmesi 2;
online bankacılık veya e-ticaret sitelerine yapılan CSRF saldırılarının, onay olmadan finansal hesaplardan para akışı olması 2;
kişisel bilgilerin değiştirilmesi veya çalınması 2;
kimlik hırsızlığı ve daha geniş çapta güvenlik sorunlarına yol açılması 2.

CSRF saldırılarından korunmak için CSRF token ve SameSite cookie gibi yöntemler kullanılabilir 1 2.

5 kaynaktan alınan bilgiyle göre:

CSRF nedir?

Yazeka

Arama sonuçlarına göre oluşturuldu

Yanıtı değerlendir

5 kaynak

Diğer siber saldırı türleri nelerdir?

SameSite cookie ayarı nedir?

CSRF saldırılarının örnekleri nelerdir?

Daha fazla bilgi

Konuyla ilgili materyaller

XSS nedir?