XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ
QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Məqalələr > Diqqət! CSRF - dən necə qorunmalıyıq ?!

26 Okt 2016

 CSRF - Cross-Site Request Forgery (və ya XSRF) saytlar arası saxta sorğulardır. Belə ki, əgər istifadəçi xaker tərəfindən yaradılmış sayta daxil olarsa , onun adından gizli olaraq digər serverə sorğu göndərilir, daha sonra isə naməlum hesabi əməliyyatları yerinə yetirir. Bu cür hücumu həyata keçirmək üçün istifadəçi həmin serverdə qeydiyyatda olmalıdır.

CSRF - in məntiqi

1) Saxta HTTP sorğular - yeni tip boşluqlar. Bu növ hücum illər öncə meydana gəlmişdir. İlk nəzəri əsaslanmalar 1988-ci ildə əldə olunmuşdur. Boşluq olaraq isə 2000-ci ildə aşkar olunmuşdur. CSRF termini kimi ilk dəfə Peter Vatkins 2001-ci ildə istifadə etdi.

2) CSRF - saytlar arası ssenarilərin yerinə yetirilməsinin bir variantıdır. (XSS)

CSRF və XSS arasında yeganə uyğunluq veb tətbiqetmənin istifadəçilərinə edilən hücumun vektor qismində istifadə olunmasıdır. Həmçinin CSRF - in möməkliyi ilə digər serverdə olan passiv XSS istismar etmək mümkündür.

3) CSRF az yayılmış boşluqdur lakin kifayət qədər istifadədə qəlizdir.

4) Veb təhlükəsizliyi üzrə ixtisaslaşan şirkətlər özlərinin kiber laboratoriyalarında apardıqları analizlər nəticəsində əksər veb tətbiqetmələrin CSRF hücumu qarşısında aciz qaldığını bildirirlər.

Belə ki, CSRF istifadəçinin adından boşluq olan saytda hər hansı əməliyyatın aparılmasını məcbur edən məntiqə əsaslanır. Məs: şifrənin dəyişdirilməsi, şifrənin bərpası üçün məxfi sualın dəyişdirilməsi və s.

 

 

 

Qorunması yolları :

Bu tip hücumdan sadə anlayışla qorunmaq üçün bir neçə mexanizm mövcuddur.

- veb saytlar istifadəçinin əksər əməliyyatlarının təsdiqini tələb etməlidir.

- əgər sorğu göndərilibsə HTTP_REFERER sətiri yoxlanılmalıdır.

Lakin bu üsul təhlükəsiz olmaya da bilər və ondan tam olaraq qorunmaq üçün istifadə məsləhət görülmür.

Təcrübədə isə 2 qorunma üsulunun olduğunu qeyd etmək lazımdır :

1) İstifadəçi girişində hər bir istifadəçiyə ixtiyari yaranmış dəyərlər verməklə qorunmaq olar ki, buna da anti csrf token deyilir.

 

 

 

2) Form üzərindən captcha ilə qorunmaq lazımdır. İstifadəçinin göndərdiyi hər bir sorğuya əsasən yaranan özündə saxlayan obyektdir.

 

 

 

Belə ki, bir neçə CSRF hücumları aparılması nəzər yetirək.

Brauzerin səhifəsinə müraciəti zamanı istifadəçi şəkil yükləməyə çalışır, hansı ki, bu müraciətin bir nüsxəsi də boşluq olan tətbiqetməyə yönlənir və buradan da aşağıda "to " sətirində qeyd olunan elektron poçta məktub göndərilir.

 

 Müellif: Emin Quliyev