XSS ve CSRF Arasındaki İlişki Nedir ?

0

Merhaba ben XSS ve CSRF' in arasında bir bağ varmıdır merak ediyorum internette tatmin edici cevaplar bulamadım pek uzmanim.net'e yazmaya karar verdim. Yani örnek verecek olursak XSS ve CSRF İki Sıkı Dost gibimidir Arkadaş gibimidirler. Teşekkürler şimdiden.

feritarslan feritarslan (306)
3 yıl önce sordu

Toplam 2 Cevap


1

XSS (Cross Site Scripting), web tarayıcısı gibi bir istemcinin bir web uygulamasına güveninden yararlanmak olarak tanımlayabiliriz.

CSRF (Cross-Site Request Forgery) ise en basit tanımı bir saldırganın, bir web sitesine, sitenin güvendiği bir kullanıcıdan yetkisiz komutlar göndererek bu işlemi yapması olarak tanımlayabiliriz.

XSS ile CSRF arasındaki ilişki

XSS  ve CSRF birbiri ile ilişkili açıklardır ve uygulamanızı hangilerinin etkilediğini belirlemek zordur. Eğer bir uygulama XSS den etkileniyorsa, aynı zamanda CSRF'den de etkileniyordur çünkü CSRF bir XSS açığını kullanabilir. Fakat CSRF'ten etkileniyor olan bir uygulama XSS'den etkilenmiyor olabilir. Aşağıdaki grafikte de görülebileceği gibi, XSS'i CSRF'nin bir alt kümesi olarak düşünebilirsiniz;

 

XSS, CSRF

 

Bu iki saldırı şeklindeki ana fark saldırının nasıl yapıldığıdır. XSS giriş doğrulamayı atlatma ile ve bir sayfaya direkt olarak kod enjekte ederek ile yapılır. CSRF zaten orada olanı kötüye kullanarak yapılır.

CSRF ve XSS'deki esas problem XSS'in, CSRF açıklarının riskini arttırmasıdır. Birlikte kullanıldığında birbirlerini çok iyi tamamlarlar. En büyük risk, birleştirildiklerinde, tarayıcı farklı web sitelerine gidebilir, tek bir siteyle sınırlı kalmaz. CSRF tek başına saldırganın HTTP cevabını okuyabilmesine izin vermediği için saldırının başarılı olup olmadığını bilinemez. Fakat, XSS ile birleştirildiğinde, saldırgan sonuçları kendi seçtiği bir yere yönlendirebilir ve saldırının başarılı olup olmadığını anında görebilir.

ergin ergin (2475)
3 yıl önce cevaplandı

  • profilinize baktım istanbulda oturuyosunuz sanırım rica etsem ücretli emeğinizin karşılığını alarak bana ders verebilirmisiniz web konularında adresinize ben gelebilirim isterseniz eğer istersenizde sizde gelebilirsiniz cevabınızı bekliyorum saygılar. sensei feritarslan 3 yıl önce
  • öncelikle teşekkür ederim bu yazdıkların için istanbuldayım evet facebooktan iletişime geçebilirsin benimle. ergin 3 yıl önce

0

çok teşekkür ederim abicim okadar mükemmel anlattınki anlatrım ifaden çok fevkalade sanırım öğretmen falan olmalısınız siz. iişte böyle tatmin edici cevaplar bulduğum için uzmanim.net i tercih ediyorum daima. teşekkürler tekrar

feritarslan feritarslan (306)
3 yıl önce cevaplandı

üyelik gerektirir

Cevap yazabilmek için üye girişi yapmalısınız.

Eğer uzmanim.net üyesiyseniz giriş yapabilirsiniz: üye girişi yap
uzmanim.net'e üye olmak çok kolaydır: hemen kayıt ol