Bu bloq yazısı veb təhlükəsizliyinin mühüm aspekti olan CSRF (Saytlararası Sorğu Saxtakarlığı) hücumlarını və onlardan müdafiə üçün istifadə olunan üsulları araşdırır. Bu, CSRF-nin (Saytlararası Sorğu Saxtakarlığı) nə olduğunu, hücumların necə baş verdiyini və nəyə gətirib çıxara biləcəyini izah edir. O, həmçinin bu cür hücumlara qarşı ehtiyat tədbirləri və mövcud müdafiə vasitələri və üsullarına diqqət yetirir. Yazı CSRF (Saytlararası Sorğu Saxtakarlığı) hücumlarından qorunmaq üçün praktiki məsləhətlər təklif edir və cari statistikaya istinad edərək mövzunun əhəmiyyətini vurğulayır. Nəhayət, oxuculara CSRF (Saytlararası Sorğu Saxtakarlığı) ilə mübarizənin ən effektiv yolları və təklif olunan fəaliyyət planları daxil olmaqla hərtərəfli bələdçi təqdim olunur.

CSRF (Saytlararası Sorğu Saxtakarlığı) nədir?

CSRF (Saytlararası Sorğu Saxtakarlığı)Zəiflik istifadəçi öz brauzerinə daxil olarkən zərərli vebsayta başqa saytda icazəsiz hərəkətlər etməyə imkan verən veb zəifliyidir. Qurbanın şəxsiyyəti kimi icazəsiz sorğular göndərməklə, təcavüzkar istifadəçinin xəbəri və ya razılığı olmadan hərəkətlər edə bilər. Məsələn, onlar qurbanın parolunu dəyişə, pul köçürə və ya e-poçt ünvanını dəyişə bilərlər.

CSRF hücumları adətən sosial mühəndislik vasitəsilə həyata keçirilir. Təcavüzkar qurbanı zərərli linki tıklamağa və ya zərərli vebsayta daxil olmağa inandırır. Bu veb sayt avtomatik olaraq qurbanın brauzerində daxil olduğu hədəflənmiş vebsayta sorğular göndərir. Brauzer avtomatik olaraq bu sorğuları hədəflənmiş sayta göndərir, sonra isə sorğunun qurbandan gəldiyini güman edir.

Xüsusiyyət	İzahat	Qarşısının alınması üsulları
Tərif	İstifadəçi icazəsi olmadan sorğuların göndərilməsi	CSRF tokenləri, SameSite kukiləri
Məqsəd	Daxil olan istifadəçiləri hədəfləyir	Doğrulama mexanizmlərinin gücləndirilməsi
Nəticələr	Məlumat oğurluğu, icazəsiz əməliyyatlar	Giriş və çıxışların filtrlənməsi
Yayılma	Veb tətbiqlərində ümumi zəiflik	Müntəzəm təhlükəsizlik testlərinin aparılması

CSRF hücumlarından qorunmaq üçün müxtəlif tədbirlər görülə bilər. Bunlara daxildir: CSRF tokenləri istifadə etmək, SameSite kukiləri və mühüm hərəkətlər üçün istifadəçidən əlavə yoxlama tələb olunur. Veb tərtibatçıları tətbiqlərini CSRF hücumlarından qorumaq üçün bu tədbirləri həyata keçirməlidirlər.

CSRF Əsasları

• CSRF istifadəçinin xəbəri olmadan icazəsiz hərəkətlərin həyata keçirilməsinə imkan verir.
• Təcavüzkar qurbanın şəxsiyyətindən istifadə edərək sorğular göndərir.
• Sosial mühəndislik tez-tez istifadə olunur.
• CSRF tokenləri və SameSite kukiləri mühüm müdafiə mexanizmləridir.
• Veb tərtibatçıları tətbiqlərini qorumaq üçün tədbirlər görməlidirlər.
• Zəifliklər müntəzəm təhlükəsizlik testləri vasitəsilə aşkar edilə bilər.

CSRFveb proqramları üçün ciddi təhlükədir və tərtibatçıların bu cür hücumların qarşısını almaq üçün tədbirlər görmələri vacibdir. İstifadəçilər həmçinin şübhəli linklərə klikləməkdən və etibarlı vebsaytlardan istifadə etməklə özlərini qoruya bilərlər.

CSRF hücumlarına ümumi baxış

CSRF (Saytlararası Sorğu Saxtakarlığı) Hücumlar zərərli vebsayta istifadəçinin xəbəri və ya razılığı olmadan istifadəçinin brauzerinə daxil olmuş başqa vebsaytda hərəkətlər etməyə imkan verir. Bu hücumlar adətən istifadəçinin etibar etdiyi sayt vasitəsilə icazəsiz əmrlər göndərməklə həyata keçirilir. Məsələn, təcavüzkar bank proqramında pul köçürmək və ya sosial media hesabına göndərmək kimi hərəkətləri hədəfləyə bilər.

• CSRF hücumlarının xüsusiyyətləri
• Bu, bir kliklə edilə bilər.
• İstifadəçinin daxil olmasını tələb edir.
• Təcavüzkar birbaşa istifadəçinin etimadnaməsinə daxil ola bilməz.
• Çox vaxt sosial mühəndislik texnikalarını əhatə edir.
• Sorğular qurbanın brauzeri vasitəsilə göndərilir.
• O, hədəf veb tətbiqinin sessiya idarəetmə zəifliklərindən istifadə edir.

CSRF hücumları xüsusi olaraq veb proqramlardakı boşluqlardan istifadə edir. Bu hücumlarda təcavüzkar zərərli link və ya qurbanın brauzerinə daxil edilmiş skript vasitəsilə istifadəçinin daxil olduğu vebsayta sorğular göndərir. Bu sorğular istifadəçinin öz sorğuları kimi görünür və buna görə də veb server tərəfindən qanuni hesab edilir. Bu, təcavüzkara istifadəçinin hesabında icazəsiz dəyişikliklər etməyə və ya həssas məlumatlara daxil olmağa imkan verir.

Hücum növü	İzahat	Qarşısının alınması üsulları
GET-əsaslı CSRF	Təcavüzkar əlaqə vasitəsilə sorğu göndərir.	AntiForgeryToken istifadəsi, Referer nəzarəti.
POST-əsaslı CSRF	Təcavüzkar forma təqdim edərək sorğu göndərir.	AntiForgeryToken istifadəsi, CAPTCHA.
JSON əsaslı CSRF	Təcavüzkar JSON məlumatları ilə sorğu göndərir.	Fərdi başlıqlara, CORS siyasətlərinə nəzarət.
Flash əsaslı CSRF	Təcavüzkar sorğunu Flash proqramı vasitəsilə göndərir.	Flash, təhlükəsizlik yeniləmələrini söndürmək.

Bu hücumların qarşısını almaq üçün müxtəlif müdafiə mexanizmləri hazırlanmışdır. Ən çox yayılmış üsullardan biridir AntiForgeryToken Bu üsul sorğunun qanuni istifadəçi tərəfindən edildiyini təsdiqləyən hər bir forma təqdimi üçün unikal işarə yaradır. Başqa bir üsuldur SameSite kukiləri Bu kukilər yalnız eyni sayt daxilində sorğularla göndərilir və beləliklə saytlararası sorğuların qarşısını alır. Həmçinin, Referen Başlığı yoxlamaq həm də hücumların qarşısını almağa kömək edə bilər.

CSRF Hücumlar veb proqramlar üçün ciddi təhlükə yaradır və həm istifadəçilər, həm də tərtibatçılar tərəfindən ehtiyatla davranılmalıdır. Güclü müdafiə vasitələrinin tətbiqi və istifadəçi məlumatlılığının artırılması bu cür hücumların təsirini azaltmaq üçün çox vacibdir. Veb tərtibatçıları proqramlarını tərtib edərkən təhlükəsizlik prinsiplərini nəzərə almalı və müntəzəm təhlükəsizlik testləri keçirməlidirlər.

CSRF hücumları necə həyata keçirilir?

CSRF (Saytlararası Sorğu Saxtakarlığı) Təcavüz hücumları zərərli veb-sayt və ya proqramın istifadəçinin xəbəri və ya razılığı olmadan səlahiyyətli istifadəçinin brauzeri vasitəsilə sorğu göndərməsini nəzərdə tutur. Bu hücumlar istifadəçinin daxil olduğu veb proqram (məsələn, bank saytı və ya sosial media platforması) daxilində baş verir. Təcavüzkar istifadəçinin brauzerinə zərərli kodu yeritməklə istifadəçinin xəbəri olmadan hərəkətlər edə bilər.

CSRF Bu hücumun əsas səbəbi veb proqramlarının HTTP sorğularını təsdiqləmək üçün adekvat təhlükəsizlik tədbirlərini həyata keçirməməsidir. Bu, təcavüzkarlara sorğuları saxtalaşdırmağa və onları qanuni istifadəçi sorğuları kimi təqdim etməyə imkan verir. Məsələn, təcavüzkar istifadəçini parolunu dəyişməyə, pul köçürməyə və ya profil məlumatlarını yeniləməyə məcbur edə bilər. Bu tip hücumların həm fərdi istifadəçilər, həm də böyük təşkilatlar üçün ciddi nəticələri ola bilər.

Hücum növü	İzahat	Misal
URL əsasında CSRF	Təcavüzkar zərərli URL yaradır və istifadəçini ona tıklamağa təşviq edir.	<a href="http://example.com/transfer?to=attacker&amount=1000">Siz Mükafat Qazandınız!</a>
Forma əsasında CSRF	Təcavüzkar avtomatik olaraq təqdim edən forma yaradaraq istifadəçini aldadır.	<form action=http://example.com/transfer method=POST><input type=hidden name=to value=attacker><input type=hidden name=amount value=1000><input type=submit value=Gönder></form>
JSON Əsaslıdır CSRF	Hücum API sorğularındakı boşluqlardan istifadə etməklə həyata keçirilir.	gətir('http://example.com/api/transfer', { metod: 'POST', əsas: JSON.stringify({ to: 'hücumçu', məbləğ: 1000 ) )
Şəkil etiketi ilə CSRF	Təcavüzkar şəkil etiketindən istifadə edərək sorğu göndərir.	<img src="http://example.com/transfer?to=attacker&amount=1000">

CSRF Hücumların uğurlu olması üçün istifadəçi hədəf internet saytına daxil olmalı və təcavüzkar istifadəçinin brauzerinə zərərli sorğu göndərə bilməlidir. Bu sorğu adətən e-poçt, vebsayt və ya forum yazısı vasitəsilə edilir. İstifadəçi sorğuya kliklədikdə, brauzer avtomatik olaraq istifadəçinin etimadnaməsi ilə birlikdə göndərilən hədəf veb saytına sorğu göndərir. Buna görə də veb proqramlar CSRF Hücumlardan qorunmaq son dərəcə vacibdir.

Hücum Ssenariləri

CSRF Hücumlar adətən müxtəlif ssenarilər vasitəsilə həyata keçirilir. Ən ümumi ssenarilərdən biri e-poçt vasitəsilə göndərilən zərərli keçiddir. İstifadəçi bu linki kliklədikdə, arxa planda zərərli link yaradılır. CSRF Zərərli hücum başlanır və istifadəçinin xəbəri olmadan hərəkətlər edilir. Başqa bir ssenari, etibarlı veb-saytda yerləşdirilmiş zərərli şəkil və ya JavaScript kodu vasitəsilə hücumdur.

Tələb olunan alətlər

CSRF Hücumları həyata keçirmək və ya sınaqdan keçirmək üçün müxtəlif vasitələrdən istifadə edilə bilər. Bu alətlərə Burp Suite, OWASP ZAP və müxtəlif fərdi skriptlər daxildir. Bu alətlər təcavüzkarlara saxta sorğular yaratmağa, HTTP trafikini təhlil etməyə və zəiflikləri müəyyən etməyə kömək edir. Təhlükəsizlik mütəxəssisləri bu vasitələrdən veb proqramların təhlükəsizliyini yoxlamaq üçün də istifadə edə bilərlər CSRF boşluqları müəyyən edə bilir.

CSRF Hücum Addımları

1. Hədəf veb proqramında zəifliklərin müəyyən edilməsi.
2. İstifadəçinin daxil olduğu vebsaytda zərərli sorğu yaradılır.
3. İstifadəçinin bu istəyini tetiklemek üçün sosial mühəndislik üsullarından istifadə.
4. İstifadəçinin brauzeri saxta sorğunu hədəf vebsayta göndərir.
5. Təyinat veb-saytı sorğuya qanuni istifadəçi sorğusu kimi yanaşır.
6. Təcavüzkar istifadəçinin hesabı vasitəsilə icazəsiz hərəkətlər edir.

Necə Qarşısını Almalı?

CSRF Hücumların qarşısını almaq üçün müxtəlif üsullar var. Bu üsullardan ən çox yayılmışlarına aşağıdakılar daxildir: CSRF ayələr, SameSite kukiləri və ikiqat göndərmə kukiləri. CSRF tokenlər hər forma və ya sorğu üçün unikal dəyər yaradaraq təcavüzkarların saxta sorğular yaratmasının qarşısını alır. SameSite kukiləri kukilərin yalnız eyni saytdakı sorğularla göndərilməsini təmin edir, CSRF Digər tərəfdən, ikiqat təqdim kukiləri, həm kuki, həm də forma sahəsində eyni dəyərin göndərilməsini tələb edərək, təcavüzkarların sorğuları saxtalaşdırmasını çətinləşdirir.

Bundan əlavə, veb proqramlar müntəzəm olaraq təhlükəsizlik testindən keçirilir və təhlükəsizlik zəiflikləri aradan qaldırılır. CSRF Hücumların qarşısını almaq vacibdir. Tərtibatçılar, CSRF Hücumların necə işlədiyini və onların qarşısının alınmasını başa düşmək təhlükəsiz proqramların inkişafı üçün çox vacibdir. İstifadəçilər həmçinin şübhəli keçidlərdən qaçmalı və vebsaytların təhlükəsizliyini təmin etməlidirlər.

CSRF Hücumlarına Qarşı Alınacaq Ehtiyatlar

CSRF (Saytlararası Sorğu Saxtakarlığı) Hücumlara qarşı tədbirlərə həm tərtibatçılar, həm də istifadəçilər tərəfindən həyata keçirilə bilən müxtəlif strategiyalar daxildir. Bu tədbirlər təcavüzkarlardan gələn zərərli sorğuların qarşısını almaq və istifadəçi təhlükəsizliyini təmin etmək məqsədi daşıyır. Əsasən, bu tədbirlər sorğuların qanuniliyinin yoxlanmasına və icazəsiz girişin qarşısının alınmasına yönəlib.

Effektiv müdafiə strategiyası üçün həm server, həm də müştəri tərəfində görülməli olan tədbirlər var. Server tərəfində sorğuların həqiqiliyini yoxlamaq üçün. CSRF Tokenlərdən istifadə, SameSite kukiləri ilə kukilərin əhatə dairəsini məhdudlaşdırmaq və ikiqat göndərmə kukilərindən istifadə vacibdir. Müştəri tərəfində istifadəçiləri naməlum və ya etibarsız əlaqələrdən qaçınmaq üçün öyrətmək və brauzerin təhlükəsizlik parametrlərini düzgün konfiqurasiya etmək vacibdir.

Alınacaq ehtiyat tədbirləri

• CSRF Tokenlərindən istifadə: Hər seans üçün unikal işarə yaratmaqla sorğuların etibarlılığını yoxlayın.
• SameSite kukiləri: Kukilərin yalnız eyni saytdakı sorğularla göndərilməsini təmin etməklə CSRF riski azaltmaq.
• İkiqat təqdim kukiləri: Eyni dəyərin həm kukidə, həm də sorğu orqanında mövcud olmasını təmin etməklə təsdiqləməni gücləndirin.
• Origin Control (Origin Header): Sorğuların mənbəyini yoxlayaraq icazəsiz sorğuları bloklayın.
• İstifadəçi Təlimi: İstifadəçiləri şübhəli bağlantılar və e-poçtlardan xəbərdar edin.
• Təhlükəsizlik Başlıqları: X-Frame-Options və Content-Security-Policy kimi təhlükəsizlik başlıqlarından istifadə edərək əlavə qoruma təmin edin.

Aşağıdakı cədvəldə, CSRF Siz hücumlara qarşı mümkün əks tədbirlərin xülasəsini və hər bir əks tədbirin təsirli olduğu hücum növlərini görə bilərsiniz. Bu cədvəl tərtibatçılara və təhlükəsizlik mütəxəssislərinə hansı əks tədbirlərin həyata keçirilməsi barədə məlumatlı qərarlar qəbul etməyə kömək edəcək.

Ehtiyat tədbiri	İzahat	Hücumlara Qarşı Təsirlidir
CSRF Tokenlər	O, hər sorğu üçün unikal işarə yaradaraq sorğunun etibarlılığını yoxlayır.	Əsas CSRF hücumlar
SameSite kukiləri	Kukilərin yalnız eyni saytdakı sorğularla göndərilməsini təmin edir.	Saytlararası sorğu saxtakarlığı
İkiqat təqdim kukiləri	Həm kukidə, həm də sorğu orqanında eyni dəyərin olmasını tələb edir.	Token oğurluğu və ya manipulyasiya
Origin Control	Sorğuların mənbəyini yoxlayaraq icazəsiz sorğuların qarşısını alır.	Domen adının saxtalaşdırılması

Unutmaq olmaz ki, CSRF Hücumlara qarşı tam müdafiəni təmin etmək üçün bu tədbirlərin kombinasiyası istifadə edilməlidir. Bütün hücum vektorlarından qorunmaq üçün heç bir tədbir kifayət edə bilməz. Buna görə də, laylı təhlükəsizlik yanaşmasını qəbul etmək və zəiflikləri müntəzəm olaraq skan etmək vacibdir. Bundan əlavə, təhlükəsizlik siyasəti və prosedurlarının müntəzəm olaraq yenilənməsi yeni təhlükələrə qarşı hazırlığı təmin edir.

CSRF-nin Təsirləri və Nəticələri

CSRF Cross-Site Request Forgery (CRF) hücumlarının təsirləri həm istifadəçilər, həm də veb proqramlar üçün ciddi nəticələrə səbəb ola bilər. Bu hücumlar istifadəçilərin hesablarını və həssas məlumatlarını təhlükə altına alaraq icazəsiz əməliyyatların həyata keçirilməsinə imkan verir. Təcavüzkarlar müxtəlif zərərli fəaliyyətlər həyata keçirmək üçün istifadəçilərin qəsdən olmayan hərəkətlərindən istifadə edə bilərlər. Bu, təkcə fərdi istifadəçilər üçün deyil, həm də şirkətlər və təşkilatlar üçün əhəmiyyətli reputasiya və maliyyə itkilərinə səbəb ola bilər.

CSRF hücumlarının potensial təsirini başa düşmək onlara qarşı daha effektiv müdafiə vasitələri hazırlamaq üçün vacibdir. Hücumlar istifadəçi hesabı parametrlərinin dəyişdirilməsindən tutmuş pul köçürməsinə və hətta icazəsiz məzmunun dərc edilməsinə qədər dəyişə bilər. Bu hərəkətlər nəinki istifadəçilərin etibarını sarsıdır, həm də veb proqramların etibarlılığını pozur.

CSRF-nin mənfi təsirləri

• Hesabın ələ keçirilməsi və icazəsiz giriş.
• İstifadəçi məlumatlarının manipulyasiyası və ya silinməsi.
• Maliyyə itkiləri (icazəsiz pul köçürmələri, alışlar).
• Reputasiyanın itirilməsi və müştəri etibarının itirilməsi.
• Veb proqram resurslarından sui-istifadə.
• Hüquqi məsələlər və hüquqi məsuliyyətlər.

Aşağıdakı cədvəl müxtəlif ssenarilərdə CSRF hücumlarının mümkün nəticələrini daha ətraflı araşdırır:

Hücum Ssenarisi	Mümkün nəticələr	Təsirə məruz qalan tərəf
Parolun dəyişdirilməsi	İstifadəçinin hesabına girişin itirilməsi, şəxsi məlumatların oğurlanması.	İstifadəçi
Bank hesabından pul köçürməsi	İcazəsiz pul köçürmələri, maliyyə itkiləri.	İstifadəçi, Bank
Sosial Media Paylaşımı	Arzuolunmaz və ya zərərli məzmunun yayılması, nüfuzun itirilməsi.	İstifadəçi, Sosial Media Platforması
E-ticarət saytında sifariş	İcazəsiz məhsul sifarişləri, maliyyə itkiləri.	İstifadəçi, Elektron Ticarət Saytı

Bu nəticələr, CSRF Bu, bu hücumların ciddiliyini nümayiş etdirir. Buna görə də, veb tərtibatçıları və sistem administratorları üçün bu cür hücumlara qarşı fəal tədbirlər görmək və istifadəçi məlumatlılığını artırmaq çox vacibdir. Güclü müdafiənin tətbiqi həm istifadəçi məlumatlarını qorumaq, həm də veb proqramların təhlükəsizliyini təmin etmək üçün vacibdir.

Unutmaq olmaz ki, effektiv müdafiə strategiyası Bu strategiya yalnız texniki tədbirlərlə məhdudlaşmamalıdır; istifadəçi məlumatlılığı və təhsili də bu strategiyanın tərkib hissəsi olmalıdır. Şübhəli linklərə klikləməmək, etibarsız veb-saytlara daxil olmaqdan çəkinmək və parolların müntəzəm olaraq dəyişdirilməsi kimi sadə tədbirlər CSRF hücumlarının qarşısının alınmasında mühüm rol oynaya bilər.

CSRF Müdafiə Alətləri və Metodları

CSRF Cross-Site Request Forgery (CRF) hücumlarına qarşı effektiv müdafiə strategiyasının işlənib hazırlanması veb proqramların təhlükəsizliyi üçün çox vacibdir. Bu hücumlar istifadəçinin xəbəri və ya razılığı olmadan icazəsiz hərəkətlər etməyə cəhd etdiyi üçün çoxşaxəli, laylı müdafiə yanaşması lazımdır. Bu bölmədə, CSRF Hücumların qarşısını almaq və qarşısını almaq üçün istifadə edilə bilən müxtəlif vasitələr və üsullar araşdırılacaq.

Veb proqramları CSRF Bu hücumlardan qorunmaq üçün istifadə edilən əsas müdafiə mexanizmlərindən biri sinxronlaşdırılmış işarə modelidir (STP). Bu modeldə server tərəfindən yaradılan unikal işarə hər bir istifadəçi sessiyası üçün saxlanılır və hər forma təqdimi və ya kritik əməliyyat sorğusu ilə göndərilir. Server, qəbul edilən tokeni sessiyada saxlanılan tokenlə müqayisə edərək sorğunun qanuniliyini yoxlayır. Bu, başqa saytdan gələn saxta sorğuların qarşısını alır.

Müdafiə Alətləri

• Sinxron Token Modeli (STP): Hər bir forma üçün unikal əlamətlər yaradaraq sorğuların həqiqiliyini yoxlayır.
• İkiqat kuki təqdim edin: Həm kukidə, həm də sorğu parametrində təsadüfi dəyər göndərməklə CSRF hücumların qarşısını alır.
• SameSite kukiləri: Kukilərin yalnız eyni saytdan sorğularla göndərilməsini təmin etməklə CSRF riskini azaldır.
• CSRF Kitabxanalar və Çərçivələr: Müxtəlif proqramlaşdırma dilləri və çərçivələri üçün hazırlanmışdır, CSRF müdafiəni təmin edən hazır həllər təklif edir.
• Sorğu Başlığı Nəzarətləri (İstinad/Mənşə): O, sorğunun gəldiyi mənbəni yoxlayaraq icazəsiz mənbələrdən gələn sorğuları bloklayır.

Aşağıdakı cədvəldə fərqlidir CSRF Müdafiə üsullarının xüsusiyyətləri və müqayisəsi ilə bağlı ətraflı məlumat verilir. Bu məlumat hər bir ssenari üçün hansı metodun daha uyğun olduğuna qərar verməyə kömək edə bilər.

Müdafiə üsulu	İzahat	Üstünlüklər	Çatışmazlıqları
Sinxron Token Modeli (STP)	Hər forma üçün unikal tokenlərin yaradılması	Yüksək təhlükəsizlik, geniş istifadə	Server tərəfində yerüstü yük, token idarə edilməsi
İkiqat kukilər göndərin	Kuki və sorğu parametrində eyni dəyər	Vətəndaşlığı olmayan arxitekturalara uyğun sadə icra	Subdomen problemləri, bəzi brauzer uyğunsuzluqları
SameSite kukiləri	Kukilər saytdan kənar sorğulardan bloklanır	Asan inteqrasiya, brauzer səviyyəsində qorunma	Köhnə brauzerlərlə uyğunsuzluq mənşəli tələblərə təsir göstərə bilər
Başlıq yoxlamalarını tələb edin	Referer və Origin başlıqlarının yoxlanılması	Sadə yoxlama, əlavə server yükü yoxdur	Başlıqlar manipulyasiya edilə bilər, etibarlılıq aşağıdır

CSRF Digər mühüm müdafiə üsulu Double Submit Cookies-dir. Bu üsulda server təsadüfi qiymət yaradır və onu kuki kimi müştəriyə göndərir və onu formada gizli sahəyə yerləşdirir. Müştəri formanı təqdim etdikdə həm kukidəki dəyər, həm də formadakı dəyər serverə göndərilir. Server bu iki dəyərin uyğun olub olmadığını yoxlayaraq sorğunun qanuniliyini yoxlayır. Bu üsul xüsusilə vətəndaşlığı olmayan proqramlar üçün uyğundur və əlavə server seansının idarə edilməsini tələb etmir.

SameSite kukiləri həmçinin CSRF Hücumlara qarşı təsirli bir müdafiə mexanizmidir. SameSite xüsusiyyəti kukilərin yalnız eyni saytdan gələn sorğulara daxil olmasını təmin edir. Bu xüsusiyyət ilə kukilər fərqli bir saytdan gəlir CSRF hücumlar avtomatik bloklanır. Bununla belə, SameSite kukilərindən istifadə bütün brauzerlər tərəfindən dəstəklənmədiyi üçün onlardan digər müdafiə üsulları ilə birlikdə istifadə etmək tövsiyə olunur.

CSRF hücumlarından qaçınmaq üçün məsləhətlər

CSRF (Saytlararası Sorğu Saxtakarlığı) Bu hücumlardan qorunmaq veb proqramların təhlükəsizliyi üçün çox vacibdir. Bu hücumlar istifadəçilərin xəbəri və ya razılığı olmadan icazəsiz əməliyyatlar həyata keçirmək üçün nəzərdə tutulub. Ona görə də tərtibatçılar və sistem administratorları bu tip hücumlara qarşı effektiv müdafiə mexanizmləri tətbiq etməlidirlər. Aşağıdakılar CSRF Hücumlara qarşı alına biləcək bəzi əsas ehtiyat tədbirləri və məsləhətlər təqdim olunur.

CSRF Hücumlardan qorunmaq üçün müxtəlif üsullar var. Bu üsullar ümumiyyətlə müştəri və ya server tərəfində həyata keçirilə bilər. Ən çox istifadə edilən üsullardan biri Sinxronlaşdırıcı Token Modeli (STP) Bu üsulda server hər bir istifadəçi seansı üçün unikal işarə yaradır ki, bu da istifadəçinin yerinə yetirdiyi hər bir forma təqdimi və kritik əməliyyat üçün istifadə olunur. Server daxil olan sorğudakı işarəni sessiyadakı işarə ilə müqayisə edərək sorğunun etibarlılığını yoxlayır.

Üstəlik, İkiqat təqdim kuki Metod həm də effektiv müdafiə mexanizmidir. Bu üsulda server kuki vasitəsilə təsadüfi dəyər göndərir və müştəri tərəfi JavaScript kodu bu dəyəri forma sahəsinə və ya fərdi başlığa daxil edir. Server həm kukidəki dəyərin, həm də forma və ya başlıqdakı dəyərin uyğun olduğunu yoxlayır. Bu üsul xüsusilə API və AJAX sorğuları üçün uyğundur.

Aşağıdakı cədvəldə, CSRF Hücumlara qarşı istifadə edilən bəzi əsas müdafiə üsulları və onların xüsusiyyətlərinin müqayisəsi daxildir.

Müdafiə üsulu	İzahat	Üstünlüklər	Çatışmazlıqları
Sinxronizasiya Token Modeli (STP)	Hər seans üçün unikal token yaradılır və yoxlanılır.	Yüksək təhlükəsizlik, geniş istifadə olunur.	Token idarə edilməsini tələb edir, mürəkkəb ola bilər.
İkiqat kuki göndər	Kuki və forma/başlıqda eyni dəyərin doğrulanması.	Sadə icra, API üçün uyğundur.	JavaScript tələb edir, kuki təhlükəsizliyindən asılıdır.
SameSite kukiləri	Kukilərin yalnız eyni sayt sorğuları ilə göndərilməsini təmin edir.	Tətbiq etmək asandır, əlavə təhlükəsizlik qatını təmin edir.	O, köhnə brauzerlərdə dəstəklənməyə bilər və tam qorunma təmin etmir.
Referen yoxlayın	Sorğunun gəldiyi mənbənin yoxlanılması.	Sadə və sürətli idarəetmə qurğusu.	Referer adı manipulyasiya edilə bilər və onun etibarlılığı aşağıdır.

Aşağıda, CSRF Hücumlara qarşı daha konkret və təsirli qorunma məsləhətləri var:

1. Sinxronlaşdırıcı Tokendən (STP) istifadə edin: Hər bir istifadəçi sessiyası üçün unikaldır CSRF Tokenlər yaradın və forma təqdimatlarında onları doğrulayın.
2. İkiqat göndərmə kuki metodunu həyata keçirin: Kuki və forma sahələrindəki dəyərlərin, xüsusən API və AJAX sorğularında uyğun olub olmadığını yoxlayın.
3. SameSite kuki funksiyasından istifadə edin: Kukilərin yalnız eyni sayt sorğuları ilə göndərilməsini təmin etməklə əlavə təhlükəsizlik qatı yaradın. Ciddi və ya Lax seçimlərinizi qiymətləndirin.
4. HTTP başlıqlarını düzgün təyin edin: X-Frame-Seçimlər Başlıq ilə klik hücumlarından qoruyun.
5. Referentin başlığını yoxlayın: Sorğunun hansı mənbədən gəldiyini yoxlamaq üçün Referen Başlığı yoxlayın, ancaq unutmayın ki, tək bu üsul kifayət deyil.
6. İstifadəçi Girişlərini Təsdiqləyin və Təmizləyin: Həmişə istifadəçi girişini təsdiqləyin və təmizləyin. Bu XSS kimi digər hücum növlərinə qarşı da qoruma təmin edir.
7. Müntəzəm Təhlükəsizlik Testləri keçirin: Veb tətbiqinizi müntəzəm olaraq təhlükəsizlik testi edin və zəiflikləri müəyyənləşdirin və aradan qaldırın.

Bu tədbirlərə əlavə olaraq, istifadəçiləriniz CSRF Potensial hücumlar haqqında məlumatlılığın artırılması çox vacibdir. İstifadəçilərə tanımadıqları və ya etibar etmədikləri mənbələrdən olan keçidlərə klikləməkdən çəkinmələri və həmişə təhlükəsiz veb proqramlarına üstünlük vermələri tövsiyə edilməlidir. Xatırlamaq vacibdir ki, təhlükəsizlik çoxqatlı yanaşma vasitəsilə əldə edilir və hər bir tədbir ümumi təhlükəsizlik vəziyyətini gücləndirir.

CSRF Hücumları üzrə Cari Statistika

CSRF Cross-Site Request Forgery (CRF) hücumları veb tətbiqləri üçün davamlı təhlükə yaratmağa davam edir. Cari statistika bu hücumların yayılmasını və potensial təsirini vurğulayır. Bu, xüsusilə e-ticarət saytları, bank proqramları və sosial media platformaları kimi yüksək istifadəçi qarşılıqlı əlaqəsi olan sahələr üçün doğrudur. CSRF Onlar hücumlar üçün cəlbedici hədəflərdir. Buna görə də, tərtibatçılar və təhlükəsizlik mütəxəssisləri üçün bu tip hücumlardan xəbərdar olmaq və effektiv müdafiə mexanizmlərini inkişaf etdirmək çox vacibdir.

Cari Statistika

• 2023 yılında web uygulama saldırılarının %15’ini CSRF yaradılmışdır.
• Elektron ticarət saytları üçün CSRF saldırılarında %20 artış gözlemlendi.
• Maliyyə sektorunda CSRF kaynaklı veri ihlalleri %12 arttı.
• Mobil proqramlarda CSRF zafiyetleri son bir yılda %18 yükseldi.
• CSRF saldırılarının ortalama maliyeti bir önceki yıla göre %10 arttı.
• Ən çox hədəflənən sektorlara maliyyə, pərakəndə satış və səhiyyə daxildir.

Aşağıdakı cədvəl müxtəlif sektorları göstərir CSRF Hücumların yayılması və təsirini ümumiləşdirir. Bu məlumatlar risk qiymətləndirmələri apararkən və təhlükəsizlik tədbirlərini həyata keçirərkən nəzərə alınmalı olan vacib məlumatları təmin edir.

Sektor	Hücum dərəcəsi (%)	Orta Xərc (TL)	Məlumat pozuntularının sayı
Maliyyə	25	500.000	15
Elektron ticarət	20	350.000	12
Sağlamlıq	15	250.000	8
Sosial Media	10	150.000	5

CSRF Zərərli proqram hücumlarının təsirlərini azaltmaq üçün tərtibatçılar və sistem administratorları mütəmadi olaraq təhlükəsizlik testləri keçirməli, ən son təhlükəsizlik yamaqlarını tətbiq etməli və bu cür hücumlar barədə istifadəçi məlumatlılığını artırmalıdır. Sinxronlaşdırıcı Tokenlər Və İkiqat kukilər göndərin kimi müdafiə mexanizmlərinin düzgün tətbiqi: CSRF hücumlarınızın müvəffəqiyyət nisbətini əhəmiyyətli dərəcədə azalda bilər.

Təhlükəsizlik tədqiqatçıları tərəfindən dərc edilən hesabatlar, CSRF hücumlar daim inkişaf edir və yeni variasiyalar ortaya çıxır. Buna görə də təhlükəsizlik strategiyaları daim yenilənməli və təkmilləşdirilməlidir. Təhlükəsizlik zəifliklərinin müəyyən edilməsi və aradan qaldırılması üçün proaktiv yanaşmanın qəbul edilməsi, CSRF hücumların potensial təsirini minimuma endirəcək.

CSRF və Fəaliyyət Planının əhəmiyyəti

CSRF (Saytlararası Sorğu Saxtakarlığı) Hücumlar veb proqramların təhlükəsizliyinə ciddi təhlükə yaradır. Bu hücumlar səlahiyyətli istifadəçinin bilmədən zərərli hərəkətlər etməsinə səbəb ola bilər. Məsələn, təcavüzkar istifadəçinin parolunu dəyişə, pul köçürə və ya həssas məlumatları manipulyasiya edə bilər. Buna görə də, CSRF Kiberhücumlara qarşı fəal yanaşmaq və effektiv fəaliyyət planı yaratmaq çox vacibdir.

Risk Səviyyəsi	Mümkün təsirlər	Profilaktik tədbirlər
Yüksək	İstifadəçi hesabının güzəşti, məlumatların pozulması, maliyyə itkiləri	CSRF ayələr, SameSite kukiləri, iki faktorlu autentifikasiya
Orta	İstenmeyen profil dəyişiklikləri, icazəsiz məzmun dərci	Referer nəzarəti, istifadəçinin qarşılıqlı əlaqəsini tələb edən əməliyyatlar
Aşağı	Kiçik məlumat manipulyasiyaları, pozucu hərəkətlər	Sadə yoxlama mexanizmləri, sürətin məhdudlaşdırılması
Qeyri-müəyyən	Sistem zəifliklərinə görə təsirlər, gözlənilməz nəticələr	Davamlı təhlükəsizlik skanları, kodun nəzərdən keçirilməsi

Fəaliyyət Planı, veb tətbiqiniz CSRF Hücumlara qarşı müqaviməti artırmaq üçün atılacaq addımları ehtiva edir. Bu plan risklərin qiymətləndirilməsi, təhlükəsizlik tədbirlərinin həyata keçirilməsi, sınaq prosesləri və davamlı monitorinq kimi müxtəlif mərhələləri əhatə edir. Unutmaq olmaz ki, CSRFQarşı alınacaq tədbirlər yalnız texniki həllərlə məhdudlaşmamalı, eyni zamanda istifadəçi məlumatlandırma təlimlərini də əhatə etməlidir.

Fəaliyyət Planı

1. Riskin qiymətləndirilməsi: Veb tətbiqinizdəki potensial CSRF Zəiflikləri müəyyən edin.
2. CSRF Token Tətbiqi: Bütün kritik formalar və API sorğuları üçün unikaldır CSRF tokenlərdən istifadə edin.
3. SameSite kukiləri: Kukilərinizi saytlararası sorğularda göndərilməsinin qarşısını almaq üçün SameSite atributu ilə qoruyun.
4. İstinad yoxlanışı: Daxil olan sorğuların mənbəyini yoxlayın və şübhəli sorğuları bloklayın.
5. İstifadəçi məlumatlılığı: İstifadəçilərinizi fişinq və digər sosial mühəndislik hücumları haqqında məlumatlandırın.
6. Təhlükəsizlik Testləri: Mütəmadi olaraq nüfuzetmə testləri və təhlükəsizlik skanları həyata keçirməklə zəiflikləri müəyyən edin.
7. Davamlı Monitorinq: Tətbiqinizdə anormal fəaliyyətlərin monitorinqi CSRF hücumları aşkar edin.

uğurlu CSRF Müdafiə strategiyası daimi sayıqlıq və yeniləmələr tələb edir. Veb texnologiyaları və hücum üsulları daim dəyişdiyinə görə, təhlükəsizlik tədbirlərinizi mütəmadi olaraq nəzərdən keçirməli və yeniləməlisiniz. Həmçinin, inkişaf komandanız CSRF və digər veb zəiflikləri tətbiqinizin təhlükəsizliyini təmin etmək üçün atılacaq ən vacib addımlardan biridir. Təhlükəsiz veb mühiti üçün, CSRFXəbərdar olmaq və buna qarşı hazır olmaq çox vacibdir.

CSRF ilə mübarizə aparmağın ən təsirli yolları

CSRF Cross-Site Request Forgery (CRF) hücumları veb proqramların təhlükəsizliyi üçün ciddi təhlükədir. Bu hücumlar istifadəçilərə onların xəbəri və ya razılığı olmadan icazəsiz hərəkətlər etməyə imkan verə bilər. CSRF Hücumlarla mübarizə aparmaq üçün bir neçə effektiv üsul var və bu üsulların düzgün tətbiqi veb proqramların təhlükəsizliyini əhəmiyyətli dərəcədə artıra bilər. Bu bölmədə, CSRF Hücumlara qarşı alına biləcək ən təsirli üsulları və strategiyaları araşdıracağıq.

Metod	İzahat	İcra Çətinliyi
Sinxronlaşdırılmış Token Modeli (STP)	Hər bir istifadəçi sessiyası üçün unikal işarə yaradılır və bu işarə hər forma təqdimində yoxlanılır.	Orta
İkiqat təqdim kuki	Kuki və forma sahəsində eyni dəyəri istifadə edir; server dəyərlərin uyğun olduğunu yoxlayır.	Asan
SameSite Cookie Atributu	Kukilərin yalnız eyni sayt sorğuları ilə göndərilməsini təmin edir, beləliklə, saytlararası sorğularla heç bir kuki göndərilməz.	Asan
İstinad Başlığına Nəzarət	O, sorğunun gəldiyi mənbəni yoxlayaraq icazəsiz mənbələrdən gələn sorğuları bloklayır.	Orta

CSRF Bu hücumlardan qorunmaq üçün ən ümumi və effektiv üsullardan biri Sinxronlaşdırılmış Token Modelindən (STP) istifadə etməkdir. STP hər bir istifadəçi seansı üçün unikal əlamət yaratmağı və hər forma təqdimatında onu təsdiq etməyi əhatə edir. Bu işarə adətən gizli forma sahəsində və ya HTTP başlığında göndərilir və server tərəfindən təsdiqlənir. Bu, təcavüzkarların etibarlı token olmadan icazəsiz sorğular göndərməsinin qarşısını alır.

Effektiv Metodlar

• Sinxronlaşdırılmış Token Modelinin (STP) tətbiqi
• İkiqat təqdim kuki metodundan istifadə
• SameSite Cookie funksiyasının aktivləşdirilməsi
• Müraciətlərin mənbəyinin yoxlanılması (İstinad Başlığı)
• İstifadəçi girişini və çıxışını diqqətlə yoxlayın
• Əlavə təhlükəsizlik qatlarının əlavə edilməsi (məsələn, CAPTCHA)

Digər təsirli üsul isə Double Submit Cookie texnikasıdır. Bu texnikada server kukidə təsadüfi dəyər təyin edir və forma sahəsində eyni dəyəri istifadə edir. Forma təqdim edildikdə, server kuki və forma sahəsindəki dəyərlərin uyğun olub olmadığını yoxlayır. Dəyərlər uyğun gəlmirsə, sorğu rədd edilir. Bu üsul CSRF Bu, kuki hücumlarının qarşısını almaqda çox təsirlidir, çünki təcavüzkarlar kuki dəyərini oxuya və ya dəyişə bilməz.

SameSite kuki xüsusiyyəti CSRF Hücumlara qarşı mühüm müdafiə mexanizmidir. SameSite atributu kukilərin yalnız eyni sayt sorğuları ilə göndərilməsini təmin edir. Bu, kukilərin saytlararası sorğularda avtomatik göndərilməsinin qarşısını alır və bununla da qarşısını alır CSRF Bu xüsusiyyət uğurlu hücumlar ehtimalını azaldır. Bu funksiyanı aktivləşdirmək müasir veb-brauzerlərdə nisbətən asandır və veb proqramların təhlükəsizliyini artırmaq üçün mühüm addımdır.

Tez-tez verilən suallar

CSRF hücumu halında, mənim istifadəçi hesabıma müdaxilə etmədən hansı tədbirlər görülə bilər?

CSRF hücumları adətən istifadəçinin etimadnamələrini oğurlamaqdansa, daxil olduqları zaman onun adından icazəsiz hərəkətlər etmək məqsədi daşıyır. Məsələn, onlar parollarını dəyişməyə, e-poçt ünvanlarını yeniləməyə, pul köçürməyə və ya forumlarda/sosial mediada yazmağa cəhd edə bilərlər. Təcavüzkar istifadəçinin artıq icazə verdiyi hərəkətləri onların xəbəri olmadan həyata keçirir.

CSRF hücumlarının uğurlu olması üçün istifadəçi hansı şərtlərə cavab verməlidir?

CSRF hücumunun uğurlu olması üçün istifadəçi hədəf veb-sayta daxil olmalıdır və təcavüzkar istifadəçinin daxil olduğu sayta bənzər sorğu göndərə bilməlidir. Əslində, istifadəçi hədəf veb-saytda autentifikasiyadan keçməlidir və təcavüzkar həmin autentifikasiyanı saxtalaşdıra bilməlidir.

CSRF tokenləri tam olaraq necə işləyir və niyə belə effektiv müdafiə mexanizmidir?

CSRF tokenləri hər bir istifadəçi sessiyası üçün unikal və çətin təxmin edilən dəyər yaradır. Bu token server tərəfindən yaradılır və forma və ya keçid vasitəsilə müştəriyə göndərilir. Müştəri serverə sorğu göndərəndə o, bu nişanı ehtiva edir. Server daxil olan sorğunun işarəsini gözlənilən tokenlə müqayisə edir və uyğunluq olmadıqda sorğunu rədd edir. Bu, təcavüzkarın öz-özünə yaradılan sorğu ilə istifadəçini təqlid etməsini çətinləşdirir, çünki onların etibarlı işarəsi olmayacaq.

SameSite kukiləri CSRF hücumlarından necə qoruyur və onların hansı məhdudiyyətləri var?

SameSite kukiləri kukinin yalnız eyni saytdan gələn sorğularla göndərilməsinə icazə verməklə CSRF hücumlarını azaldır. Üç fərqli dəyər var: Strict (kuki yalnız eyni sayt daxilində sorğularla göndərilir), Lax (kuki həm saytda, həm də təhlükəsiz (HTTPS) saytdan kənar sorğularla göndərilir) və Yoxdur (kuki hər sorğu ilə göndərilir). "Ciddi" ən güclü müdafiəni təmin etsə də, bəzi hallarda istifadəçi təcrübəsinə təsir göstərə bilər. 'Heç biri' 'Təhlükəsiz' ilə birlikdə istifadə edilməməlidir və ən zəif müdafiəni təklif edir. Məhdudiyyətlərə bəzi köhnə brauzerlər tərəfindən dəstəklənməməsi daxildir və tətbiqin tələblərindən asılı olaraq fərqli SameSite dəyərlərinin seçilməsi tələb oluna bilər.

Tərtibatçılar mövcud veb proqramlarda CSRF müdafiəsini necə tətbiq edə və ya təkmilləşdirə bilərlər?

Tərtibatçılar əvvəlcə CSRF tokenlərini tətbiq etməli və onları hər forma və AJAX sorğusuna daxil etməlidirlər. Onlar həmçinin SameSite kukilərini uyğun şəkildə konfiqurasiya etməlidirlər ("Ciddi" və ya "Lax" ümumiyyətlə tövsiyə olunur). Bundan əlavə, ikiqat təqdim kukiləri kimi əlavə müdafiə mexanizmlərindən istifadə edilə bilər. Müntəzəm təhlükəsizlik testi və veb tətbiqi təhlükəsizlik duvarının (WAF) istifadəsi də CSRF hücumlarından qoruya bilər.

CSRF hücumu aşkar edildikdə dərhal hansı addımlar atılmalıdır?

CSRF hücumu aşkar edildikdə, ilk növbədə təsirə məruz qalan istifadəçiləri və potensial təhlükə altında olan prosesləri müəyyən etmək vacibdir. İstifadəçiləri xəbərdar etmək və parollarını sıfırlamağı tövsiyə etmək yaxşı təcrübədir. Sistem zəifliklərini yamaq və hücum vektorunu bağlamaq çox vacibdir. Bundan əlavə, logların təhlili hücumun mənbəyini təhlil etmək və gələcək hücumların qarşısını almaq üçün vacibdir.

CSRF-ə qarşı müdafiə strategiyaları tək səhifəli proqramlar (SPA) və ənənəvi çox səhifəli proqramlar (MPA) üçün fərqlənirmi? Əgər belədirsə, niyə?

Bəli, CSRF müdafiə strategiyaları SPA və MPA-lar üçün fərqlənir. MPA-larda CSRF tokenləri server tərəfində yaradılır və formalara əlavə olunur. SPA-lar adətən API zəngləri etdiyindən, tokenlər HTTP başlıqlarına əlavə edilir və ya ikiqat təqdim kukilərindən istifadə olunur. SPA-larda daha çox müştəri tərəfi JavaScript kodunun olması hücum səthini artıra bilər, ona görə də ehtiyatlı olmaq lazımdır. Bundan əlavə, CORS (Cross-Origin Resource Sharing) konfiqurasiyası SPA-lar üçün də vacibdir.

Veb tətbiqinin təhlükəsizliyi kontekstində CSRF-nin digər ümumi hücum növləri ilə (XSS, SQL Injection və s.) necə əlaqəsi var? Müdafiə strategiyaları necə inteqrasiya oluna bilər?

CSRF XSS (Saytlararası Skriptləmə) və SQL Injection kimi digər ümumi hücum növlərindən fərqli məqsədə xidmət edir, lakin onlar tez-tez bir-biri ilə birlikdə istifadə olunur. Məsələn, CSRF hücumu XSS hücumundan istifadə edərək tetiklene bilər. Buna görə də, laylı təhlükəsizlik yanaşmasını qəbul etmək vacibdir. Giriş məlumatlarının sanitarlaşdırılması və çıxış məlumatlarının XSS-ə qarşı kodlaşdırılması, SQL Injection-a qarşı parametrləşdirilmiş sorğuların istifadəsi və CSRF-ə qarşı CSRF tokenlərinin tətbiqi kimi müxtəlif müdafiə mexanizmləri birlikdə istifadə edilməlidir. Zəifliklərin müntəzəm olaraq skan edilməsi və təhlükəsizlik haqqında məlumatlılığın artırılması da inteqrasiya olunmuş təhlükəsizlik strategiyasının bir hissəsidir.

Ətraflı məlumat: OWASP İlk On