CSRF Nedir ve Nasıl SameSite ile Tamamen Önlenir

Cross Site Request Forgery nedir ve nasıl SameSite bayrağı ile önlenir konulu bu yazı için önce csrf'nin temel nedeni olan third party cookie'den, sonra csrf 'nin tam olarak ne olduğundan ve son olarak da samesite bayrağının ne olduğu ve csrf'yi nasıl durdurulabileceğinden bahsedilecektir.

a. Third Party Cookie Nedir?

Bir web sayfasını ziyaret ettiğimizde talep ettiğimiz web sitesi başka bir web sitesinden CDN linki ile javascript kütüphanesi ya da font talep edebilir. Örneğin birçok web sitesi script'lerini ve font'larını Google sunucularından, share butonlarını ise Facebook'tan ve Twitter'dan temin etmektedirler. Web uygulamalarının bu kaynakları (font'ları, script'leri ve widget'leri) kendi içlerinde çalıştırmak için yaptığıkları http taleplerine cross-origin talepleri (yani siteler arası talep) adı verilir. Bu talepler böyle adlandırılır, çünkü bir web sitesi (yani bir origin) bir başka web sitesinden veri talep etmektedir. Bir web sitesi bir başka web sitesinden veri talep ederken veri talep edilen web sitesi için bir çereze sahipsek mevcut web sitesini görüntülerken talebin yapıldığı diğer web sitesine ait çerezimiz de talebe eklenecektir ve diğer siteye gönderilecektir. Örneğin Facebook'ta oturumumuz açık durumda olsun ve yan sekmede ise herhangi bir web sitesini görüntülüyor olalım. Görüntülüyor olduğumuz web sitesinde Facebook share butonu varsa facebook oturum çerezimiz görüntülüyor olduğumuz sayfada üçüncü taraf olan facebook'a gönderilecektir. Dolayısıyla gönderdiğimiz facebook oturum çerezlerine third party cookie denecektir. Eğer facebook'u direk görüntülüyor olsaydık aynı oturum çerezleri bu sefer first party çerezler olacaklardı. Aşağıdaki resimde görüntülüyor olduğumuz sayfadan üçüncü taraf bir siteye çerez gönderişimiz gösterilmiştir.

Not:

Web sitelerine yerleştirilen share button'ları ile facebook, kullanıcıların üçüncü parti çerezlerini toplamaktadır ve böylece nereleri ziyaret ettiklerini takip edebilmektedir.

b. Cross Site Request Forgery Nedir?

Cross Site Request forgery saldırısı kullanıcının oturum açtığı bir web sitesi yan sekmedeyken saldırganın sitesine uğraması ya da saldırgandan gelen mail'i açması sonrası gelen linki tıklamasıyla (ya da tetiklemesiyle) beraber oturum açtığı web sitesinde istemediği bir eylemi gerçekleştirmesine denir. Örneğin kullanıcı bir bankacılık sitesinde oturum açmış olabilir ve yan sekmede ise saldırganın sitesine ya da mail'ine yönlenmiş olabilir. Saldırganın sayfasında ya da mail'inde img tag'ına eklenmiş form submit'leme linki ile istemeden bankacılık web sitesine bir talepte bulunabilir ve belki de saldırganın hesabına para transfer edebilir.

Bu saldırı üçüncü parti çerezler nedeniyle başarılı olmaktadır. Eğer üçüncü parti çerezler aktif olmasaydı kullanıcı saldırganın sayfasındayken ya da saldırganın mail'ini görüntülüyorken saldırganın bankacılık sitesine yaptırdığı talebe kullanıcının bankacılık çerezi eklenemeyecekti ve böylece bankacılık sitesi kullanıcıyı oturum açmamış göreceğinden bir işlem gerçekleştirmeyecekti. Dolayısıyla üçüncü parti çerezlerin kapatılması CSRF'yi öldürmektedir.

c. Cross Site Request Forgery Saldırısı SameSite Bayrağı ile Nasıl Önlenir?

Set-cookie kullanıcı çerezlerini sunucudan kullanıcıya göndermek için kullanılan bir http response başlığıdır. SameSite bayrağı ise Set-Cookie başlığının aldığı anahtar kelimelerden biridir. Syntax'ı ise şu şekildedir:

Set-Cookie: =; Expires=; Secure; HttpOnly; SameSite="..."

Yukarıda önce çerez değişken ve değeri, sonra çerezin kullanım ömrü ve son olarak da çerezi denetim altına alan bayraklar listelenmiştir. Bayrakların açıklaması şu şekildedir:

Secure Flag

Secure flag'i ile işaretlenmiş çerezler yalnızca https trafiği olduğunda istemci ve sunucu arasında gidip gelir. Eğer istemci ve sunucu arasında iletişim http 'ye dönerse çerez gönderimi engellenir. Böylece web uygulamasını kullanan kullanıcı çerezlerinin MITM yapan kişilerce okunabilmesinin önüne geçilmiş olur.

HttpOnly Flag

HttpOnly flag'i ile web uygulamasında istemci tarafındaki javascript kodlarının kullanıcı çerezine erişimi engellenir. Böylece ileride çıkabilecek olası xss zafiyetlerine karşı çerezlerin üçüncü parti konumlara gidişi engellenmiş olur.

SameSite Flag

SameSite flag'i third party çerezlerin üçüncü taraf konumlara gidişini denetler. Mod olarak Lax ve Strict değerlerini alabilir. Lax gevşek moddur. Üçüncü taraf yerlere çerezin gidişine izin verir. Strict katı moddur. Üçüncü taraf yerlere çerezin gidişine izin vermez.

SameSite bayrağına strict değeri konarak çerezlerimizin üçüncü taraf yerlere gönderimini engellemiş oluruz. Yani çerezlerimiz böylelikle sadece görüntülüyor olduğumuz mevcut siteye gönderilebilir. Yan sekmedeki web sitelerine gönderilemez. Böylece csrf saldırılarını tamamen durdurulabilir.

Not:

Third party cookie'ler tarayıcı ayarlarından tarayıcı genelinde disable edilebilir ve böylece csrf'nin önüne geçilebilir. SameSite bayrağı ise tarayıcı genelinde third part cookie'leri değil de sadece spesifik cookie'lerin üçüncü tarafa gönderimini engeller ve böylelikle daha iyi yönetilebilir bir çerez denetimi sağlar.

Ekstra

Third parti çerezler sıklıkla tarayıcı ayarlarından ve same origin policy gibi güvenlik ayarlarından engellenirler ve silinirler. Firefox tarayıcısı varsayılan olarak third party çerezleri bloklamaktadır. Third parti çerezleri bloklamak internette daha az reklam görmemizi sağlar. Çünkü gezindiğimiz sitelerdeki widget'ler , flash'lar google'a daha az bilgi gönderebilir durumda olur ve google bizden daha az sayıda bilgi sahibi olur. Böylece gizliliğimiz temin edilmiş olur ve google bize hitap eden (daha önce ziyaret ettiğimiz şeylere dair) reklamlar veremez duruma gelir. Third parti çerezleri bloklamak üstelik oturum sorunlarına da yol açmaz. Çünkü sadece first party çerezler silinirse oturum problemleri ortaya çıkar.

Yararlanılan Kaynaklar

https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
https://www.sjoerdlangkemper.nl/2016/04/14/preventing-csrf-with-samesite-cookie-attribute/
http://whatis.techtarget.com/definition/third-party-cookie
http://www.ravelrumba.com/blog/third-party-cookies/
https://blog.appcanary.com/2017/http-security-headers.html

Bu yazı 22.08.2024 tarihinde, saat 22:04:56'de yazılmıştır. 23.08.2024 tarihi ve 21:25:20 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 32

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Siber Güvenlik Araçları
	->	Linux Temelleri
	->	Siber Güvenlik Genel Kültür

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	SSH Tünelleme
	->	Router İçerisindeki Firewall ve DHCP
	->	Proxy vs VPN
	->	OSI ve TCP-IP
	->	Nmap Kullanımı 2 - Çıkardığım Notlarım

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ▼ 2024 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (58) • APT Saldırısı Nedir • Bug vs Vulnerability • CAPEC Nedir ve Kullanımı • CTF Nedir • CVE Nedir ve Kullanımı • CWE vs CVE • Character Set, Character Encoding ve Character Reference Nedir • Exploit Arama Yöntemi • Framework Nedir • Mirai Zararlısı Nedir • Paypal ve Güvenlik • RAT Nedir • Ransomware Nedir • Bir Siteye Shell Atmanın 20 Temel Yöntemi • Sisteminizi Shell'lerden Korumanın Yöntemleri • Sosyal Mühendislik Saldırı Türleri • Stagefright Virüsü Nedir • Vulnerability Scanner'ların Çalışma Mantığı • Crypto 101 - Notlarım • ASP.NET'te .config Dosyalarının Hiyerarşisi ve Sıkılaştırma için Web.config Dosyası Oluşturma • Authentication vs Authorization • Brute Force ve Dictionary Saldırılarını CSRF Token ile Önleme • CSRF Nedir ve Nasıl SameSite ile Tamamen Önlenir • Edge, Chrome ve Firefox'da Önbellek Tazeleme • DVWA Blind SQL Injection Hakkında Ek Not • HTTP Range Başlığı Nedir • Paylaşımlı Hosting'de Komşu Web Sitelerini Tespit Etme • Mass Deface Nedir • Cookie'ye HttpOnly, Secure ve Same-Site Bayraklarının Uygulanmaması Açıklığı • Email Adres İfşası Açıklığı • Feature Policy Başlığı • HTTP Strict Transport Security (HSTS) Başlığı Nedir • Insecure Frame Usage (External) Açıklığı • Güvensiz İletişim Güvenlik Protokolü Açıklığı • Content-Type Başlığı Eksikliği Açıklığı • Subresource Integrity (SRI) Eksikliği Açıklığı • Cacheable Https Response Açıklığı • CSRF Korumasız HTML Formu Açıklığı • Yanlış Yapılandırılmış Access-Control-Allow-Origin Başlığı Açıklığı • Remote File Inclusion (RFI) Saldırısı ve Korunma Yöntemi • Tamper Data Nedir • User Agent Başlığı Nedir • Web Hosting vs VPS Hosting • OWASP Mutillidae Web Uygulaması Açıklıklar Listesi • Mobil Penetrasyon Testi Nedir ve Neleri Kapsar? • iOS Uygulama Pentest - Kısa Kısa Notlarım • Kerberos Nedir • Temel Windows CMD Komutları • İnternet Ağı Şeması • DNS DOS Saldırılarına Karşı Önlem • DNS Zone Nedir • NAT (Network Address Translation) Nedir • Netcat ile Sistem Ele Geçirme Senaryosu Örneği • Nmap Kullanımı 1 - Çıkardığım Notlarım • Nmap Kullanımı 2 - Çıkardığım Notlarım • OSI ve TCP-IP • Proxy vs VPN • Router İçerisindeki Firewall ve DHCP ► Eylül (1) • SSH Tünelleme

#Giriş

	ID	:
	Şifre	: