Siber Güvenlik Forumu
CSRF Token Nedir? Güvenik Nasıl Sağlanır ! - Baskı Önizleme

+- Siber Güvenlik Forumu (https://forum.alikaanbashan.org)
+-- Forum: Genel (https://forum.alikaanbashan.org/forum-Genel-1)
+--- Forum: Genel (https://forum.alikaanbashan.org/forum-Genel-23)
+--- Konu Başlığı: CSRF Token Nedir? Güvenik Nasıl Sağlanır ! (/konu-CSRF-Token-Nedir-G%C3%BCvenik-Nas%C4%B1l-Sa%C4%9Flan%C4%B1r-67)



CSRF Token Nedir? Güvenik Nasıl Sağlanır ! - Codex - 09-30-2023

CSRF Token Nedir?
İlk olarak ifade etmek gerekirse CSRF zafiyetinin önlenmesi açısından en önemli ve popüler yöntemdir.  CSRF Token yöntemi temelde benzersiz ve gizli bir değer alarak formlara gömülen ve bu sayede kullanıcının başarıyla oturum açma işleminden sonra oluşturulan değerdir. Bu değer patern yöntemlerine göre farklı şekillerde saklanabilir. Aşağıda bununla ilgili örnek eklenmiştir.

Cross-Site-Request-Forgery-Zafiyeti-8
Token Patern Yöntemleri
1.CSRF Synchronizer Token Pattern Yöntemi
Her istek için gizli ve benzersiz değer yani token tüm formlara gömülür ve sunucu tarafında işlem yapılır. Genel olarak kullanılan token yöntemidir. Bir giriş formunda post isteği ile kimlik bilgileri gönderilir, kullanıcı başarıyla oturum açarsa benzersiz bir oturum kimliği ve token oluşturulur. Oluşturulan token istemci tarafında çerezlerde saklanır, aynı zamanda sunucu tarafında da tutulur.

Özellikleri
Her oturum için özel ve benzersizdir.
Yüksek karakter sayısı ile rastgele değer alarak tahmin edilerek bypass edilmesinin önüne geçilir.
Doğrulama işleminde başarısız olunduğunda işlem reddedilir.
2.Double Submit Cookie Pattern Yöntemi
Çift çerez gönderme yöntemi hem çerezde hemde istek parametresinde rastgele bir değer gönderme olarak tanımlanabilir. Kullanıcıların oturum açma talebi sistemde doğrulandığında sistem istemci tarafında oturum ID si oluşturur ve çerezlere kaydeder. Bunun yanında token oluşturur ve kullanıcının makinesinde ayrı bir çerez olarak saklar. Sunucunun bu çerezi kaydetmesi gerekmez. Çerezler httponly olarak etiketlenemez.

Bu çerez, istemcilerin buna erişmesi gerektiği için HttpOnly olarak ayarlanamaz, sunucu bu oturum için oluşturulan belirteç kaydına sahip değildir.

Ardından kullanıcı güvenli bir form gönderdiğinde bu token girdi alanlarına gömülür.

Sunucu, form parametresi olarak gönderilen tokeni, çerez değerine bakarak doğrular ve tamamlanacak işlemi yetkilendirir. Çapraz kökenli bir saldırgan, aynı kökenden gelen ilkeye göre sunucudan gönderilen verileri okuyamaz veya çerez değerlerini değiştiremez.