CSRF (Cross Site Request Forgery) Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Yetkili bir kullanıcıya başka bir sayfa aracılığıyla haberi olmadan hedef sistem üzerinde işlem yaptırmak.

Araçlar:

  • Firefox 22

Adımlar:

  • Hedef sistemde, geriye veri okunmadan sadece istek göndererek etkili olunabilecek istek türleri tespit edilir. Örneğin kullanıcıya yönetici yetkisi vermek için bir yönetici kullanıcıyı seçip tipini admin olarak değiştirdiğinde, sisteme “userID=123&type=admin” şeklinde bir POST isteği gidiyor olsun. Eğer bu isteğin gerçekten uygulama sayfasından geldiğini doğrulayan bir anti-csrf token kullanılmamışsa şöyle bir yol izlenebilir.
  • “userID” yetkisiz ama erişim sağlanabilen bir hesabın id’si olacak şekilde, hedef sisteme otomatik olarak POST isteği gönderen bir web sayfası hazırlanır ve hedef sistemdeki yöneticinin, oturumu açıkken hazırlanan tuzak sayfaya girmesi sağlanır. Bu aşamada sosyal mühendislik saldırıları veya sistemdeki XSS gibi başka zafiyetler kullanılabilir.
  • Böylece kurbanın haberi olmadan yetkisiz bir hesap yönetici hesabına yükseltilmiş olur.

Kaynak:[değiştir]

  • The Web Application Hacker's Handbook 2th