Web güvenliği, günümüz internet dünyasında önemli bir yer tutuyor. Her geçen gün daha fazla insan ve şirket çevrimiçi hizmetlerini kullanıyor ve bu da onları siber saldırılara karşı daha savunmasız hale getiriyor. Bu yazımızda, web güvenliği dünyasında sıkça karşılaşılan ama çoğu zaman gözden kaçan bir tehdidi,
Cross-Site Request Forgery (CSRF)'yi ele alacağız.
CSRF Saldırısı Nedir?
Hadi biraz hayal kuralım. Diyelim ki bankacılık uygulamanıza giriş yaptınız ve hesap bilgilerinizi kontrol ediyorsunuz. O sırada, başka bir web sitesine tıklıyorsunuz, belki bir haber sitesi ya da sosyal medya platformu. Ne yazık ki, bu basit tıklama, kötü niyetli bir hacker tarafından tasarlanmış sinsi bir saldırıyı tetikliyor.
Cross-Site Request Forgery (CSRF), bu tür saldırılara verilen isimdir.
Bir hacker, sizin hiç farkında olmadan, başka bir site üzerinden yetkisiz işlemler yapmanıza neden olabilir. Web tarayıcınız, hala oturum açmış olduğunuz için, doğrulama işlemi yapmadan bu istekleri geçirebilir. Örneğin, hesabınızdan para transferi yapabilir ya da şifrenizi değiştirebilir.
CSRF Nasıl Çalışır?
CSRF saldırısının temelinde
yalan bir istek yatmaktadır. Bu saldırı, kötü niyetli bir kişi tarafından bir kullanıcının tarayıcısına gizlice gönderilen istekler aracılığıyla gerçekleştirilir. Kullanıcı, web sitesinde giriş yapmış olduğunda, bu istek hedef siteye gider ve site, kullanıcının isteği gibi işlem yapar.
Örneğin, kullanıcı bankacılık sistemine giriş yaptı. Bankanın web sitesi, güvenlik için kullanıcıya bir oturum çerezi (cookie) gönderiyor. Hacker, kullanıcıyı başka bir zararlı siteye yönlendiriyor. Bu site, kullanıcının bilgisi dışında, bankaya otomatik olarak bir para transferi isteği gönderiyor. Banka, kullanıcının zaten oturum açmış olduğunu gördüğü için işlemi onaylıyor. İşte CSRF saldırısı tam da burada devreye giriyor.
CSRF'yi Önlemek İçin Alınacak Önlemler
Peki, web geliştiricileri CSRF'yi nasıl engelleyebilir? Çoğu zaman,
token tabanlı bir güvenlik önlemi bu tür saldırıları engelleyebilir. CSRF koruması, her formda benzersiz bir token kullanarak çalışır. Bu token, sadece formu gönderen kullanıcıya ait olduğundan, başka bir kaynaktan gelen isteği tanıyamaz ve reddeder.
Aşağıda, bir web geliştiricisinin CSRF'yi önlemek için nasıl bir çözüm uygulayabileceğine dair bir örnek kodu bulabilirsiniz:
CSRF Örneği
Bu örnekte,
csrf_token isminde gizli bir input alanı eklenmiştir. Bu token, her seferinde farklı olur ve yalnızca geçerli oturumda geçerli olan bir değere sahiptir. Yani, kötü niyetli bir kişi token'ı alamaz ve gerçek kullanıcının adına işlem yapamaz.
CSRF Saldırılarına Karşı Alınabilecek Diğer Önlemler
-
SameSite Çerez Özelliği: Web geliştiricileri,
SameSite özelliğini kullanarak, çerezlerin yalnızca aynı site üzerinden erişilebileceğini belirtebilir. Bu sayede, başka bir siteye yapılan isteklere karşı çerezler gönderilmez.
-
Referer ve Origin Kontrolü: Web uygulamaları, gelen isteklerin referansını kontrol ederek, isteklerin güvenilir bir kaynaktan gelip gelmediğini doğrulayabilir.
-
Güçlü Oturum Yönetimi: Kullanıcıların oturum açmalarını sağlayan güvenlik mekanizmaları ve süreli token'lar kullanmak da, CSRF'yi engellemeye yardımcı olabilir.
Sonuç
CSRF, web güvenliği açısından büyük bir tehdit oluşturuyor, ancak doğru önlemler alındığında önlenmesi oldukça basittir. Bu saldırıyı engellemek için geliştiricilerin dikkatli olması ve token tabanlı doğrulama, SameSite çerezleri ve referans kontrolü gibi önlemler alması gerekmektedir. Web güvenliği bir yolculuktur ve her adımda dikkatli olmalıyız.
İnternette güvende kalmak için sadece kullanıcıların değil, geliştiricilerin de sorumlulukları vardır. Web uygulamaları güvenli olursa, hem kullanıcılar hem de uygulama sahipleri rahatça hareket edebilir.
