Salamlar .. Bugün CSRF-haqqında yüngül məlumat verəcəm .. Yəni CSRF-ın məntiqi mənasını başa salacam ..
Deməli CSRF - Cross Site Request Forgery - sözlərinin baş hərflərindən yaranır ..
bu açıq günümzün , ən yayğın və ən təhlükəli açıqlarındandır .. Ən böyük saytlarda belə taplır ..
Açıq sayəsində , adminə link ataraq , özümüzü admin elətdirə, adminin şifrəsini dəyişdirə bilərik ..
İndi daha ətraflı :
Deyəkki , hədəf saytda register bölməsi var .. Qeydiyyatdan keçdik .. Şifrəmizi dəyişdikdə , sayt bizdən köhnə şifrəmizi tələb etmir ..
Vəya kaptcha zad yoxdu ... Bax oyun burdan başlayır ..
Deyəkki , şifrəni dəyişirik .. yeni shifremiz 123456 - olsun // Bu zaman saytda bu əməliyyat gedir : sayt.am/users/Biz¥iPass="123456"/
Burda ən böyük səhf , GET methodu olmasıdır ...
İdi öz hostumuzda, bir səhifə yaradaq ..
Səhifənin skripti :
Kod:
<img Src="sayt.am/users/Biz&Pass="123456"/ />"
Səhifəmizin linki : host.az/csrf.html .
Birtəhər admini bu linkə girməyə məcbur edirik .. Admində girir .. Və bununlada onun şifrəsi 123456 - olur ..
Ondan sonrası artıq öz işimizdir ..
Bundan necə qorunmaq olar ? baxaq :
İlk öncə gərək saytımız POST - metodu ilə işləsin .. POST- ilə işləməsi , bizi CSRF-dan tam qorumur..
Saytda , şifrə dəyişmə bölməsi varsa , gərək şifrəni dəyişərdən köhnə şifrəni tələb edək..
Vəya Catpcha - lardan istifadə edək ..
//Cahangir25 //CSRF //Teşekkürler AkaSteP
//Suallarınız olarsa buyurun verin ..