Herkese merhaba,yazılarımda zafiyetlerin teknik açıklamalarından çok çözümüne odaklanacağım.Ancak ilk kez böyle bir zafiyetin varlığından haberdar olanlar için kısa bir açıklama gerekli.
CSRF,XSRF :
Web uygulamasında bu tür bir zafiyet varsa herhangi bir kullanıcı gibi erişerek işlem yapmamızı sağlar.
Genellikle GET ve POST requestleri ve SESSION işlemlerinin doğru kontrol edilememesi durumlarındaki açıklardan saldırganların faydalanmasını sağlamaktadır.
Lab 1 :
https://portswigger.net/web-security/csrf/lab-no-defenses
Laboratuvara eriştikten sonra mailimizi değiştireceğimiz alanda form elemenlarına odaklanıyorum.
Form elemanlarını aldıktan sonra local’e geçip bazı düzenlemeler yapmamız gerekli.
1-Action kısmına zafiyetin bulunduğu url.
2-Value kısmına herhangi bir mail adresi.
3-Otomatik olarak submit etmesi için javascript kodu.
İki ve üçüncü maddeye gerek yoktur.PortSwigger şartları ve zafiyetin çalıştırıldığı anda uygulanabilmesi için gereklidir.
Son olarak Go To Exploit Server diyerek hazırladığımız kodumuzu Body kısmına yapıştırıp Store dememiz gerekli.
Her şeyi doğru yaptıysanız muhtemelen başarılı sonuç alacaksınız.
Sorularınız için yorum yapmayı unutmayın.
English
Arabic
Chinese (Simplified)
Dutch
French
German
Italian
Portuguese
Russian
Spanish
Turkish