CSRF (Cross-Site Request Forgery) Nedir 
Kullanıcıyı Fark Ettirmeden İş Yaptıran Saldırı
“En tehlikeli saldırı, kullanıcının kendi yetkisini ona karşı kullanan saldırıdır.”
— Ersan Karavelioğlu
CSRF Nedir
CSRF (Cross-Site Request Forgery), saldırganın
yetkili bir kullanıcıyı fark ettirmeden istek göndertmesi ile gerçekleşen saldırıdır.
Kullanıcı gerçekten işlem yapmaz;
Ama sistem, işlemi
kullanıcı yapmış gibi kabul eder.
CSRF’nin Temel Mantığı
Kullanıcı bir siteye
login olmuştur.
Aynı tarayıcıdan başka bir siteye gider.
Tarayıcı, session cookie’yi otomatik gönderir.
Neden Bu Kadar Tehlikelidir
Kimlik doğrulama
geçerlidir.
Şifre kırılmaz, oturum çalınmaz.
Sistem kandırılmaz;
doğru kişiye güvenir.
CSRF Nasıl Gerçekleşir
Zararlı bir link, görsel veya form.
Arka planda otomatik HTTP isteği.
Kullanıcı hiçbir şey fark etmez.
Basit Bir Örnek
Kullanıcı bankaya giriş yapmıştır.
Başka sitede gizli bir <img> etiketi vardır.
Para transferi isteği tetiklenir.
CSRF Hangi İşlemleri Hedefler
Para transferi
Şifre değiştirme
Kullanıcı silme
State-changing (durum değiştiren) işlemler
CSRF ve XSS Aynı mı
Hayır.
XSS tarayıcıya kod çalıştırır.
CSRF tarayıcıyı
iş yaptırmaya zorlar.
Ama birlikte kullanıldıklarında yıkıcıdır.
CSRF Neden Cookie’lere Bağımlıdır
Tarayıcı cookie’leri
otomatik gönderir.
Site, isteğin nereden geldiğini sorgulamazsa…
CSRF mümkün olur.
GET mi POST mu
GET istekleri daha risklidir.
Ama POST da
tek başına güvenli değildir.
Metot değil, doğrulama önemlidir.
CSRF Token Nedir
Her formda
benzersiz, tek kullanımlık token.
Sunucu bu token’ı doğrular.
Saldırgan token’ı bilemez.
SameSite Cookie Özelliği
SameSite=Strict / Lax
Cross-site isteklerde cookie gönderilmez.
Modern tarayıcıların güçlü silahıdır.
Referer ve Origin Kontrolü
İstek hangi siteden geldi?
Tek başına yeterli değildir.
Ama ek bir savunma katmanıdır.
CSRF Neden Hâlâ Yaygın
Eski uygulamalar
API’lerde unutulan kontroller
“Login var, yeter” yanılgısı
API’ler CSRF’den Etkilenir mi
Cookie tabanlı auth varsa
evet.
Token (Bearer) kullanılıyorsa risk düşer.
Mimari belirleyicidir.
WAF CSRF’yi Engeller mi
Kısmen.
Mantıksal saldırıdır, tespiti zordur.
Uygulama içi önlem şarttır.
CSRF ve OWASP Top 10
Güncel listede dolaylı başlıklar altında yer alır.
Etkisi büyük olduğu için hâlâ kritiktir.
Özellikle yetkili işlemlerde.
En Büyük Yanılgı
“Bizde XSS yok, CSRF olmaz.”
Alakasızdır.
CSRF,
tarayıcı davranışıyla ilgilidir.
CSRF’den Korunmanın Özeti
CSRF token
SameSite cookie
State-changing işlemleri koruma
Katmanlı savunma
Son Söz Yetkiyi Silaha Dönüştürmek
CSRF, kullanıcının güvenini
ona karşı kullanır.
En tehlikeli yanı görünmez olmasıdır.
Güvenli uygulama, kullanıcının adına yapılan her işlemi sorgular.
“Kullanıcının yaptığı sanılan her işlem, gerçekten onun mu diye sorulmalıdır.”
— Ersan Karavelioğlu
