DVWA – Cross Site Request Forgery (CSRF)

Amaç

DVWA Lab. ortamında Cross Site Request Forgery zafiyetinin bir saldırgan tarafından nasıl istismar edileceği ve saldırı neticesinde erişim log kayıtlarında nasıl izler oluşacağını öğrenmek.

Cross Site Reqeust Forgery Nedir?

CSRF açığında; sitedeki zafiyetten faydalanarak siteye o kullanıcıymış gibi erişilerek işlem yapması sağlanır. Daha basit bir örnek ile anlatacak olursak hedef şahsın farkında olmadan herhangi bir formu işleyerek işlemi gerçekleştirmesidir. Bu zafiyet, çoğunlukla GET isteklerinin ve SESSION işlemlerinin doğru yapılandırılmadığı durumlarda ortaya çıkmaktadır.

DVWA – Cross Site Request Forgery – {Low Level}

Görüldüğü üzere aşağıda şifre değiştirmeyi gerçekleştiren bir form ekranı mevcut. Şimdi burada öncelikle kendimiz şifremizi değiştirelim.

Şifreyi 123456 olarak değiştirip onayladıktan sonra URL adres kısmına dikkat ediniz.

http://localhost/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#

Sayfa üzerinde gördüğünüz gibi şifre değiştirme işlemi GET metodu kullanılarak gerçekleştirilmektedir. URL adres satırındaki şifre kısmına kendi belirlediği şifreyi giren saldırgan bunu site üzerinden herhangi bir kullanıcıya tıklattığında ya da onun farketmeden bu linke istek göndermesini sağladığında hedef şahısın şifresi otomatik olarak değişecektir.

Bu hususları göz önünde bulundurarak kafamızda şu şekilde bir senaryo canlandırabiliriz. Saldırgan bu linki img tagının içine gömüp bir e-posta hazırlayarak kurbana gönderir. E-posta içeriği klasik bir sosyal mühendislik mesajı içerebilir; tebrikler hediye kazandınız vb. Sonuçta bizim için en önemli olan kurbanın bir şekilde e-postayı açması ve e-postanın içeriğine yerleştirilen 1*1 boyutlarında farkedilmeyecek resmin görüntülenmesi için otomatik istek gerçekleştirmesidir.

Kurban e-postayı görüntülediğinde DVWA’da oturumu açık vaziyette ise farkında olmadan şifresi değişmiş olur.

Burada img tagının kullanılmasının en önemli sebebi kurban e-postayı görüntülediğinde otomatik olarak resimin görülmesi için sunucuya istek yapacak olmasıdır.

Dikkat:
Bu saldırı türü DVWA labs. ortamında en basit haliyle ele alınmıştır. Zaten günümüzde e-posta hizmeti veren sağlayıcıların tamamı gerçekleşebilecek bu tarz saldırıları engellemektedir.

Temel olarak amacımız bu açığın ne olduğu ve etkilerinin neler olacağını görmekti. Burada değinmemiz gereken diğer bir nokta ise; hassas verilerin iletildiği formlarda her zaman GET yerine POST metodu kullanılmasıdır. GET metodu ile URL adres satırı üzerinden giden veriler, yazımızda görüldüğü üzere saldırganların hedefi olabilir. Yine bir diğer önemli husus ise URL adres satırında GET metodu ile şifre değiştir işlemi yapıldığı için şifrelerin tamamı accesslog satırında gözükecektir. Bu da daha önemli bir güvenlik sorunu olarak karşımıza çıkacaktır.

Site Footer