CSRF Yöntemi ve Örnekli Çalışma Mantığı

28 Mayıs 2009 | 11:44 | | | |

  Elimden geldigi kadar sizlere CSRF mantığının nasıl işlediğini, nasıl çalıştığını ve nasıl kullanıldığını anlatacağım. CSRF(Cross Site Request Forgery) yöntemi, bir sisteme direk değil de dolaylı yoldan etki eder, yani bunun icin baska bir baglanti kullanmamiz gerekiyor.

  Dolaylı yol derken, bir program yardımıyla değil, açıklamak gerekirse;

  Hedefimizdeki siteyi knbykl.org olarak belirleyelim, hedefe etki etmek için ise kullanacağımız siteyi de biz belirliyoruz, o da hackerbox.us olsun. Aklımızın bir köşesinde ise, şunu unutmamamız gerekir, asıl hedef bir site değil, kişidir. O kişiye etki etmek için knbykl.org ve hackerbox.us‘ı bir araç olarak kullanıyoruz.

  CSRF ile zararsız bir atak düşünürsek, hedefimizdeki kişinin knbykl.org‘dan çıkış yapmasını sağlayabiliriz.
Ayrıca; Hedefimizdeki kişinin şifresini değiştirebilirz, güvenliği alt düzeyde olan banka sitelerinden hesaba havale yapabilir, alışveriş sitelerinden sepetimize ürün ekleyebilir, sanal marketlerin sistemlerinden cep telefonlarımıza kontör gönderebiliriz.  Bu yöntemin çok tehlikeli olduğunu da “bir ülkede 20 milyona yakın insanın dolandırıldığını” örnekleyerek belirtebilirim.

  CSRF, XSS‘e bir nevi benzemektedir ama CSRF daha pratiktir. XSS ile yaptığımız bir saldırıda “cookie” yöntemi kullanılır. Amacımıza ulaşmamız için XSS‘de karşımızdaki kişinin “cookie“sini çalmamız gerekir. Ama bu yöntem CSRF‘te geçerli değildir, CSRF direk etki eder.

  Örnek:

  Ziraat Bankası’nın internet adresi “ziraat.com.tr” ‘yi örnek olarak kullanabilirim.  Hedefimizdeki kişi Av. Murat GENÇ olsun. Artık Murat Bey’in Ziraat Bankası’nda bulunan kredi kartındaki 1.000 TL’yi hesabımıza nasıl aktaracağımızı anlatıyorum.

  Murat Bey, Ziraat Bankası Sanal Bankacılık servisini kullanarak evindeki internetinden alışveriş yapıyor, siz de bunu öğrendiniz. Evinde girdiği için sayfayı kapatma gereği duymuyor. O sırada siz de Murat Bey’le Msn Messenger’dan sohbet ediyorsunuz. Arkadaşlığınız çok iyi fakat gerçek bilgilerinizi vermiyorsunuz. Bu en önemli noktadır. İnternette Avutkatların bulunduğu bir internet sitesinden tanışmış olabilirsiniz. Herhangi bir şehirde gördüğünüz bir Avukat ismini kullanarak tanışabilirsiniz.

  Sizin bir internet siteniz var, fakat bunu kimse bilmiyor. Görünüşte herkesin girdiği bir site olarak gözükse de bunu siz hedefinize ulaşmak için kullanıyorsunuz.  Bu sitenin adresi de “benimmemleketim.com” olsun.

  benimmemleketim.com adlı sitemizin index.php’sine

<img src=http://ziraat.com.tr/hesabim.php?hesapismi=murat&benimhesapnumaram=123456789&yontem=havele&miktar=1000>

bu kodu koyuyoruz ve Murat Bey’in www.benimmemleketim.com adlı sitemize girmesini sağlıyoruz. O benimmemleketim.com’da gezdiğini zannediyor fakat sitemizin arkaplanına koyduğumuz kod parçasıyla arkaplanda Murat Bey’in hesabında bulunan 1.000 TL, kendimize ait 123456789 numaralı hesap numarasına havale gönderdiğini Murat Bey bilmiyor.

  Anlatımda kullandığım site adlarıyla örnekte kullandığım sitelerin farklı olması kafanızı karıştırmasın.

  Bu makale bu tür tuzaklara düşmemeniz için “knbykl” tarafından yazılmıştır.

Makale Adresi: http://www.knbykl.org/csrf-yontemi-ve-ornekli-calisma-mantigi/