Cross-Site Request Forgery (CSRF) Nedir ve Web Güvenliğinizi Nasıl Tehdit Eder?

---

Web güvenliği, bir internet kullanıcısının en çok göz ardı ettiği, ancak en önemli konu başlıklarından biridir. Her gün sosyal medya hesaplarınızda gezinirken, alışveriş yaparken, ya da sadece e-postalarınızı kontrol ederken farkında olmadan kendinizi büyük bir güvenlik riskiyle karşı karşıya bulabilirsiniz. Peki ya bu risklerden bir tanesi Cross-Site Request Forgery (CSRF) olsa? Eğer bu terimi daha önce hiç duymadıysanız, üzülmeyin, çünkü bu yazı size tam olarak CSRF'nin ne olduğunu ve nasıl çalıştığını anlatacak.

Cross-Site Request Forgery (CSRF), yani Web Sayfası Arası İstek Sahteciliği, aslında karmaşık gibi görünen ama düşündüğünüzden çok daha basit olan bir saldırı türüdür. Temelde, kötü niyetli bir kullanıcının, bir başka kullanıcının tarayıcı üzerinden istek yapmasını sağlamak amacıyla web uygulamanızdaki güvenlik açıklarını kullanmasıdır. Bu tür bir saldırı, bir kullanıcının kimliğini taklit etmek için yapılır.

Örneğin, siz bankacılık uygulamanızda oturum açmışken, başka bir web sitesine göz atıyorsunuz. O sırada, kötü niyetli bir site, sizin bankacılık hesabınıza para transferi yapmak için bir istek gönderebilir. Çünkü oturum açtığınız sürece bankacılık uygulamanız, bu isteği gerçekten sizden geliyormuş gibi kabul edebilir.

Bir saldırganın CSRF saldırısını başarılı bir şekilde gerçekleştirmesi için, kullanıcının tarayıcısının zaten oturum açmış olduğu bir siteyi hedef alması gerekir. Bu genellikle şu şekilde işler:

1. Oturum Açma: Bir kullanıcı web uygulamasında (örneğin, bir bankacılık sitesinde) oturum açar.
2. Kötü Niyetli Sayfa: Kullanıcı, kötü niyetli bir web sitesine gider.
3. Gizli İstek Gönderme: Bu web sitesi, kullanıcıyı gizlice başka bir istekte bulunmaya zorlar. Bu istek, aslında kullanıcının tarayıcısından geliyormuş gibi görünür.
4. Hedef Uygulama: Web uygulaması, oturum açan kullanıcının kimliğini tanır ve bu isteği doğrulayıp işleme koyar.

İşte bu noktada devreye girer CSRF koruma yöntemleri.

Web uygulamanızı CSRF saldırılarına karşı korumak için çeşitli yöntemler mevcuttur. İşte en etkili olanlarından bazıları:

Birçok modern web uygulaması, her formda veya her istekte benzersiz bir token kullanır. Bu token, sadece kullanıcının oturumu sırasında geçerli olan ve her formda dinamik olarak oluşturulan bir değerdir. Bu token, sunucudan gelen her istekte kontrol edilerek, isteğin gerçekten kullanıcının kendisinden gelip gelmediği doğrulanır.

Örnek bir CSRF token kullanım kodu:

function getCSRFToken() {
    // sunucudan token al
    return document.querySelector('meta[name="csrf-token"]').getAttribute('content');
}

function submitForm(event) {
    event.preventDefault();
    let token = getCSRFToken();
    
    fetch('/submit', {
        method: 'POST',
        headers: {
            'X-CSRF-TOKEN': token,
            'Content-Type': 'application/json'
        },
        body: JSON.stringify({ data: 'example' })
    })
    .then(response => response.json())
    .then(data => console.log(data));
}

Web tarayıcılarında, SameSite çerez özelliği sayesinde, bir çerezin yalnızca kendi domaini üzerinden erişilebilmesi sağlanabilir. Bu, CSRF saldırılarına karşı ekstra bir güvenlik katmanı sağlar. Bu özellik, kullanıcının oturum çerezini yalnızca aynı site içindeki isteklere gönderir.

Örnek çerez ayarı:

document.cookie = "session_id=abc123; SameSite=Strict; Secure; HttpOnly";

Sunucular, gelen isteklerin Referer ve Origin başlıklarını kontrol ederek, isteğin güvenilir bir kaynaktan gelip gelmediğini doğrulayabilir. Bu, özellikle dışarıdan gelen isteklerin, doğru kaynaktan gelip gelmediğini anlamanın harika bir yoludur.

Web güvenliğini sağlamak, sadece bireysel kullanıcıların değil, aynı zamanda geliştiricilerin de sorumluluğundadır. Web uygulamalarınızdaki her küçük güvenlik önlemi, büyük bir saldırıyı önleyebilir. Unutmayın, CSRF gibi saldırılar bazen çok sinsi olabilir, ancak uygun savunma önlemleri ile korunabilirsiniz.

CSRF saldırıları, web uygulamalarındaki en yaygın güvenlik tehditlerinden biri olmasına rağmen, doğru stratejilerle kolayca engellenebilir. Web güvenliğine yatırım yaparak, hem kullanıcılarınızın hem de sizin verilerinizi koruma altına alabilirsiniz.