{"id":9816,"date":"2025-09-06T15:39:14","date_gmt":"2025-09-06T14:39:14","guid":{"rendered":"https:\/\/www.hostragons.com\/?p=9816"},"modified":"2025-07-26T16:35:44","modified_gmt":"2025-07-26T15:35:44","slug":"serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan","status":"publish","type":"post","link":"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/","title":{"rendered":"Serangan CSRF (Cross-Site Request Forgery) dan Teknik Pertahanan"},"content":{"rendered":"<p>Bu blog yaz\u0131s\u0131, web g\u00fcvenli\u011finin \u00f6nemli bir par\u00e7as\u0131 olan CSRF (Cross-Site Request Forgery) sald\u0131r\u0131lar\u0131n\u0131 ve bu sald\u0131r\u0131lara kar\u015f\u0131 savunma tekniklerini detayl\u0131ca incelemektedir. CSRF (Cross-Site Request Forgery)&#8217;nin ne oldu\u011fu, sald\u0131r\u0131lar\u0131n nas\u0131l ger\u00e7ekle\u015fti\u011fi ve nelere yol a\u00e7abilece\u011fi a\u00e7\u0131klanmaktad\u0131r. Ayr\u0131ca, bu t\u00fcr sald\u0131r\u0131lara kar\u015f\u0131 al\u0131nabilecek \u00f6nlemler, kullan\u0131labilecek savunma ara\u00e7lar\u0131 ve y\u00f6ntemleri \u00fczerinde durulmaktad\u0131r. Yaz\u0131, CSRF (Cross-Site Request Forgery) sald\u0131r\u0131lar\u0131ndan korunmak i\u00e7in pratik ipu\u00e7lar\u0131 sunarken, g\u00fcncel istatistiklere de de\u011finerek konunun \u00f6nemini vurgulamaktad\u0131r. Nihayetinde, CSRF (Cross-Site Request Forgery) ile ba\u015f etmenin en etkili yollar\u0131 ve aksiyon plan\u0131 \u00f6nerileri ile okuyuculara kapsaml\u0131 bir rehber sunulmaktad\u0131r.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRF_Cross-Site_Request_Forgery_Nedir\"><\/span>CSRF (Cross-Site Request Forgery) Nedir?<span class=\"ez-toc-section-end\"><\/span><\/h2><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u0130\u00e7erik Haritas\u0131<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRF_Cross-Site_Request_Forgery_Nedir\" >CSRF (Cross-Site Request Forgery) Nedir?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRF_Saldirilarina_Genel_Bakis\" >CSRF Sald\u0131r\u0131lar\u0131na Genel Bak\u0131\u015f<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRF_Saldirilari_Nasil_Gerceklestirilir\" >CSRF Sald\u0131r\u0131lar\u0131 Nas\u0131l Ger\u00e7ekle\u015ftirilir?<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#Saldiri_Senaryolari\" >Sald\u0131r\u0131 Senaryolar\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#Gerekli_Araclar\" >Gerekli Ara\u00e7lar<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#Nasil_Onlenir\" >Nas\u0131l \u00d6nlenir?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRF_Saldirilarina_Karsi_Alinabilecek_Onlemler\" >CSRF Sald\u0131r\u0131lar\u0131na Kar\u015f\u0131 Al\u0131nabilecek \u00d6nlemler<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRFnin_Etkileri_ve_Sonuclari\" >CSRF&#8217;nin Etkileri ve Sonu\u00e7lar\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRF_Savunma_Araclari_ve_Yontemleri\" >CSRF Savunma Ara\u00e7lar\u0131 ve Y\u00f6ntemleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRF_Saldirilarindan_Korunmak_Icin_Ipuclari\" >CSRF Sald\u0131r\u0131lar\u0131ndan Korunmak \u0130\u00e7in \u0130pu\u00e7lar\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRF_Saldirilarina_Dair_Guncel_Istatistikler\" >CSRF Sald\u0131r\u0131lar\u0131na Dair G\u00fcncel \u0130statistikler<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRFnin_Onemi_ve_Aksiyon_Plani\" >CSRF&#8217;nin \u00d6nemi ve Aksiyon Plan\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#CSRF_ile_Bas_Etmenin_En_Etkili_Yollari\" >CSRF ile Ba\u015f Etmenin En Etkili Yollar\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/www.hostragons.com\/id\/blog\/serangan-pemalsuan-permintaan-lintas-situs-csrf-dan-teknik-pertahanan\/#Sik_Sorulan_Sorular\" >S\u0131k Sorulan Sorular<\/a><\/li><\/ul><\/nav><\/div>\n\n<p><strong>CSRF (Cross-Site Request Forgery)<\/strong>, k\u00f6t\u00fc niyetli bir web sitesinin, kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131nda oturum a\u00e7m\u0131\u015f oldu\u011fu ba\u015fka bir site \u00fczerinde yetkisiz eylemler ger\u00e7ekle\u015ftirmesine olanak tan\u0131yan bir web g\u00fcvenlik a\u00e7\u0131\u011f\u0131d\u0131r. Sald\u0131rgan, kurban\u0131n kimli\u011fiyle yetkisiz istekler g\u00f6ndererek, kullan\u0131c\u0131n\u0131n bilgisi veya onay\u0131 olmadan eylemler ger\u00e7ekle\u015ftirebilir. \u00d6rne\u011fin, kurban\u0131n \u015fifresini de\u011fi\u015ftirebilir, para transferi yapabilir veya e-posta adresini de\u011fi\u015ftirebilir.<\/p>\n<p>CSRF sald\u0131r\u0131lar\u0131 genellikle sosyal m\u00fchendislik yoluyla ger\u00e7ekle\u015ftirilir. Sald\u0131rgan, kurban\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 bir ba\u011flant\u0131ya t\u0131klamaya veya k\u00f6t\u00fc ama\u00e7l\u0131 bir web sitesini ziyaret etmeye ikna eder. Bu web sitesi, kurban\u0131n taray\u0131c\u0131s\u0131nda oturum a\u00e7m\u0131\u015f oldu\u011fu hedeflenen web sitesine otomatik olarak istekler g\u00f6nderir. Taray\u0131c\u0131, bu istekleri otomatik olarak hedeflenen siteye g\u00f6nderir ve site, iste\u011fin kurban taraf\u0131ndan geldi\u011fini varsayar.<\/p>\n<table>\n<thead>\n<tr>\n<th>\u00d6zellik<\/th>\n<th>A\u00e7\u0131klama<\/th>\n<th>\u00d6nleme Y\u00f6ntemleri<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Tan\u0131m<\/td>\n<td>Kullan\u0131c\u0131n\u0131n yetkisi olmadan istek g\u00f6nderme<\/td>\n<td>CSRF token&#8217;lar\u0131, SameSite \u00e7erezleri<\/td>\n<\/tr>\n<tr>\n<td>Hedef<\/td>\n<td>Oturum a\u00e7m\u0131\u015f kullan\u0131c\u0131lar\u0131 hedef al\u0131r<\/td>\n<td>Do\u011frulama mekanizmalar\u0131n\u0131 g\u00fc\u00e7lendirme<\/td>\n<\/tr>\n<tr>\n<td>Sonu\u00e7lar<\/td>\n<td>Veri h\u0131rs\u0131zl\u0131\u011f\u0131, yetkisiz i\u015flemler<\/td>\n<td>Giri\u015fleri ve \u00e7\u0131k\u0131\u015flar\u0131 filtreleme<\/td>\n<\/tr>\n<tr>\n<td>Yayg\u0131nl\u0131k<\/td>\n<td>Web uygulamalar\u0131nda s\u0131k\u00e7a rastlanan bir a\u00e7\u0131k<\/td>\n<td>D\u00fczenli g\u00fcvenlik testleri yapma<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>CSRF sald\u0131r\u0131lar\u0131ndan korunmak i\u00e7in \u00e7e\u015fitli \u00f6nlemler al\u0131nabilir. Bunlar aras\u0131nda <strong>CSRF token&#8217;lar\u0131<\/strong> kullanmak, <strong>SameSite \u00e7erezleri<\/strong> kullanmak ve kullan\u0131c\u0131dan \u00f6nemli eylemler i\u00e7in ek do\u011frulama istemek yer al\u0131r. Web geli\u015ftiricileri, uygulamalar\u0131n\u0131 CSRF sald\u0131r\u0131lar\u0131na kar\u015f\u0131 korumak i\u00e7in bu \u00f6nlemleri uygulamal\u0131d\u0131r.<\/p>\n<p><strong>CSRF \u0130le \u0130lgili Temel Bilgiler<\/strong><\/p>\n<ul>\n<li>CSRF, kullan\u0131c\u0131n\u0131n bilgisi olmadan yetkisiz eylemler ger\u00e7ekle\u015ftirmeye olanak tan\u0131r.<\/li>\n<li>Sald\u0131rgan, kurban\u0131n kimli\u011fini kullanarak istekler g\u00f6nderir.<\/li>\n<li>Sosyal m\u00fchendislik s\u0131kl\u0131kla kullan\u0131l\u0131r.<\/li>\n<li>CSRF token&#8217;lar\u0131 ve SameSite \u00e7erezleri \u00f6nemli savunma mekanizmalar\u0131d\u0131r.<\/li>\n<li>Web geli\u015ftiricileri, uygulamalar\u0131n\u0131 korumak i\u00e7in \u00f6nlemler almal\u0131d\u0131r.<\/li>\n<li>D\u00fczenli g\u00fcvenlik testleri ile a\u00e7\u0131klar tespit edilebilir.<\/li>\n<\/ul>\n<p><strong>CSRF<\/strong>, web uygulamalar\u0131 i\u00e7in ciddi bir tehdittir ve geli\u015ftiricilerin bu t\u00fcr sald\u0131r\u0131lar\u0131 \u00f6nlemek i\u00e7in gerekli \u00f6nlemleri almas\u0131 \u00f6nemlidir. Kullan\u0131c\u0131lar da \u015f\u00fcpheli ba\u011flant\u0131lara t\u0131klamaktan ka\u00e7\u0131narak ve g\u00fcvenilir web sitelerini kullanarak kendilerini koruyabilirler.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRF_Saldirilarina_Genel_Bakis\"><\/span>CSRF Sald\u0131r\u0131lar\u0131na Genel Bak\u0131\u015f<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF (Cross-Site Request Forgery)<\/strong> sald\u0131r\u0131lar\u0131, k\u00f6t\u00fc niyetli bir web sitesinin, kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131nda oturum a\u00e7m\u0131\u015f oldu\u011fu ba\u015fka bir web sitesinde, kullan\u0131c\u0131n\u0131n bilgisi veya onay\u0131 olmadan eylemler ger\u00e7ekle\u015ftirmesine olanak tan\u0131r. Bu sald\u0131r\u0131lar genellikle, kullan\u0131c\u0131n\u0131n g\u00fcvendi\u011fi bir site \u00fczerinden yetkisiz komutlar g\u00f6ndererek ger\u00e7ekle\u015ftirilir. \u00d6rne\u011fin, bir sald\u0131rgan, bir bankac\u0131l\u0131k uygulamas\u0131nda para transferi yapmak veya bir sosyal medya hesab\u0131nda g\u00f6nderi payla\u015fmak gibi eylemleri hedefleyebilir.<\/p>\n<ul>\n<li><strong>CSRF Sald\u0131r\u0131lar\u0131n\u0131n \u00d6zellikleri<\/strong><\/li>\n<li>Tek t\u0131klamayla ger\u00e7ekle\u015ftirilebilir.<\/li>\n<li>Kullan\u0131c\u0131n\u0131n oturum a\u00e7m\u0131\u015f olmas\u0131n\u0131 gerektirir.<\/li>\n<li>Sald\u0131rgan, kullan\u0131c\u0131n\u0131n kimlik bilgilerine do\u011frudan eri\u015femez.<\/li>\n<li>Genellikle sosyal m\u00fchendislik teknikleri i\u00e7erir.<\/li>\n<li>Kurban\u0131n taray\u0131c\u0131s\u0131 \u00fczerinden istekler g\u00f6nderilir.<\/li>\n<li>Hedef web uygulamas\u0131n\u0131n oturum y\u00f6netimi zay\u0131fl\u0131klar\u0131ndan yararlan\u0131r.<\/li>\n<\/ul>\n<p>CSRF sald\u0131r\u0131lar\u0131, \u00f6zellikle web uygulamalar\u0131n\u0131n g\u00fcvenlik a\u00e7\u0131klar\u0131ndan faydalan\u0131r. Bu t\u00fcr sald\u0131r\u0131larda, sald\u0131rgan, kurban\u0131n taray\u0131c\u0131s\u0131na yerle\u015ftirilen k\u00f6t\u00fc ama\u00e7l\u0131 bir ba\u011flant\u0131 veya betik arac\u0131l\u0131\u011f\u0131yla, kullan\u0131c\u0131n\u0131n oturum a\u00e7t\u0131\u011f\u0131 web sitesine istekler g\u00f6nderir. Bu istekler, kullan\u0131c\u0131n\u0131n kendi iste\u011fi gibi g\u00f6r\u00fcn\u00fcr ve bu nedenle web sunucusu taraf\u0131ndan me\u015fru kabul edilir. Sald\u0131rgan, bu sayede kullan\u0131c\u0131n\u0131n hesab\u0131nda yetkisiz de\u011fi\u015fiklikler yapabilir veya hassas verilere eri\u015febilir.<\/p>\n<table>\n<tbody>\n<tr>\n<th>Sald\u0131r\u0131 T\u00fcr\u00fc<\/th>\n<th>A\u00e7\u0131klama<\/th>\n<th>\u00d6nleme Y\u00f6ntemleri<\/th>\n<\/tr>\n<tr>\n<td>GET Tabanl\u0131 CSRF<\/td>\n<td>Sald\u0131rgan, bir ba\u011flant\u0131 arac\u0131l\u0131\u011f\u0131yla istek g\u00f6nderir.<\/td>\n<td>AntiForgeryToken kullan\u0131m\u0131, Referer kontrol\u00fc.<\/td>\n<\/tr>\n<tr>\n<td>POST Tabanl\u0131 CSRF<\/td>\n<td>Sald\u0131rgan, bir form g\u00f6ndererek istek g\u00f6nderir.<\/td>\n<td>AntiForgeryToken kullan\u0131m\u0131, CAPTCHA.<\/td>\n<\/tr>\n<tr>\n<td>JSON Tabanl\u0131 CSRF<\/td>\n<td>Sald\u0131rgan, JSON verisiyle istek g\u00f6nderir.<\/td>\n<td>\u00d6zel ba\u015fl\u0131klar\u0131n kontrol\u00fc, CORS politikalar\u0131.<\/td>\n<\/tr>\n<tr>\n<td>Flash Tabanl\u0131 CSRF<\/td>\n<td>Sald\u0131rgan, Flash uygulamas\u0131 arac\u0131l\u0131\u011f\u0131yla istek g\u00f6nderir.<\/td>\n<td>Flash&#8217;\u0131n devre d\u0131\u015f\u0131 b\u0131rak\u0131lmas\u0131, g\u00fcvenlik g\u00fcncellemeleri.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Bu sald\u0131r\u0131lar\u0131n \u00f6nlenmesi i\u00e7in \u00e7e\u015fitli savunma mekanizmalar\u0131 geli\u015ftirilmi\u015ftir. En yayg\u0131n y\u00f6ntemlerden biri, <strong>AntiForgeryToken<\/strong> kullanmakt\u0131r. Bu y\u00f6ntem, her form g\u00f6nderiminde benzersiz bir belirte\u00e7 olu\u015fturarak, iste\u011fin me\u015fru bir kullan\u0131c\u0131 taraf\u0131ndan yap\u0131ld\u0131\u011f\u0131n\u0131 do\u011frular. Di\u011fer bir y\u00f6ntem ise, <strong>SameSite \u00e7erezleri<\/strong> kullanmakt\u0131r. Bu \u00e7erezler, yaln\u0131zca ayn\u0131 site i\u00e7indeki isteklerle g\u00f6nderilir, b\u00f6ylece siteler aras\u0131 isteklerin \u00f6n\u00fcne ge\u00e7ilir. Ayr\u0131ca, <strong>Referer<\/strong> ba\u015fl\u0131\u011f\u0131n\u0131n kontrol edilmesi de sald\u0131r\u0131lar\u0131 engellemeye yard\u0131mc\u0131 olabilir.<\/p>\n<p><strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131 web uygulamalar\u0131 i\u00e7in ciddi bir tehdit olu\u015fturur ve hem kullan\u0131c\u0131lar hem de geli\u015ftiriciler taraf\u0131ndan dikkatle ele al\u0131nmal\u0131d\u0131r. G\u00fc\u00e7l\u00fc savunma mekanizmalar\u0131n\u0131n uygulanmas\u0131 ve kullan\u0131c\u0131lar\u0131n bilin\u00e7lendirilmesi, bu t\u00fcr sald\u0131r\u0131lar\u0131n etkisini azaltmada kritik \u00f6neme sahiptir. Web geli\u015ftiricileri, uygulamalar\u0131n\u0131 tasarlarken g\u00fcvenlik prensiplerini g\u00f6z \u00f6n\u00fcnde bulundurmal\u0131 ve d\u00fczenli olarak g\u00fcvenlik testleri yapmal\u0131d\u0131r.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRF_Saldirilari_Nasil_Gerceklestirilir\"><\/span>CSRF Sald\u0131r\u0131lar\u0131 Nas\u0131l Ger\u00e7ekle\u015ftirilir?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF (Cross-Site Request Forgery)<\/strong> sald\u0131r\u0131lar\u0131, k\u00f6t\u00fc niyetli bir web sitesinin veya uygulaman\u0131n, yetkilendirilmi\u015f bir kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131 arac\u0131l\u0131\u011f\u0131yla, kullan\u0131c\u0131n\u0131n bilgisi veya onay\u0131 olmadan istekler g\u00f6ndermesini i\u00e7erir. Bu sald\u0131r\u0131lar, kullan\u0131c\u0131n\u0131n oturum a\u00e7t\u0131\u011f\u0131 bir web uygulamas\u0131nda (\u00f6rne\u011fin, bir bankac\u0131l\u0131k sitesi veya sosyal medya platformu) ger\u00e7ekle\u015ftirilir. Sald\u0131rgan, kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131na k\u00f6t\u00fc ama\u00e7l\u0131 bir kod enjekte ederek, kullan\u0131c\u0131n\u0131n haberi olmadan eylemler ger\u00e7ekle\u015ftirebilir.<\/p>\n<p><strong>CSRF<\/strong> sald\u0131r\u0131s\u0131n\u0131n temelinde, web uygulamalar\u0131n\u0131n HTTP isteklerini do\u011frulamak i\u00e7in yeterli g\u00fcvenlik \u00f6nlemleri almamas\u0131 yatar. Bu durum, sald\u0131rganlar\u0131n sahte istekler olu\u015fturmas\u0131na ve bunlar\u0131 me\u015fru kullan\u0131c\u0131 istekleri gibi sunmas\u0131na olanak tan\u0131r. \u00d6rne\u011fin, bir sald\u0131rgan, kullan\u0131c\u0131n\u0131n \u015fifresini de\u011fi\u015ftirmesine, para transferi yapmas\u0131na veya profil bilgilerini g\u00fcncellemesine neden olabilir. Bu t\u00fcr sald\u0131r\u0131lar, hem bireysel kullan\u0131c\u0131lar hem de b\u00fcy\u00fck kurulu\u015flar i\u00e7in ciddi sonu\u00e7lar do\u011furabilir.<\/p>\n<table>\n<thead>\n<tr>\n<th>Sald\u0131r\u0131 T\u00fcr\u00fc<\/th>\n<th>A\u00e7\u0131klama<\/th>\n<th>\u00d6rnek<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>URL Tabanl\u0131 <strong>CSRF<\/strong><\/td>\n<td>Sald\u0131rgan, k\u00f6t\u00fc niyetli bir URL olu\u015fturarak kullan\u0131c\u0131y\u0131 t\u0131klamaya te\u015fvik eder.<\/td>\n<td><code>&lt;a href=http:\/\/example.com\/transfer?to=attacker&amp;amount=1000&gt;\u00d6d\u00fcl Kazand\u0131n\u0131z!&lt;\/a&gt;<\/code><\/td>\n<\/tr>\n<tr>\n<td>Form Tabanl\u0131 <strong>CSRF<\/strong><\/td>\n<td>Sald\u0131rgan, otomatik olarak g\u00f6nderilen bir form olu\u015fturarak kullan\u0131c\u0131y\u0131 kand\u0131r\u0131r.<\/td>\n<td><code>&lt;form action=http:\/\/example.com\/transfer method=POST&gt;&lt;input type=hidden name=to value=attacker&gt;&lt;input type=hidden name=amount value=1000&gt;&lt;input type=submit value=G\u00f6nder&gt;&lt;\/form&gt;<\/code><\/td>\n<\/tr>\n<tr>\n<td>JSON Tabanl\u0131 <strong>CSRF<\/strong><\/td>\n<td>API isteklerinde g\u00fcvenlik a\u00e7\u0131klar\u0131 kullan\u0131larak sald\u0131r\u0131 ger\u00e7ekle\u015ftirilir.<\/td>\n<td><code>fetch('http:\/\/example.com\/api\/transfer', { method: 'POST', body: JSON.stringify({ to: 'attacker', amount: 1000 ) )<\/code><\/td>\n<\/tr>\n<tr>\n<td>Resim Etiketi ile <strong>CSRF<\/strong><\/td>\n<td>Sald\u0131rgan, bir resim etiketi kullanarak istek g\u00f6nderir.<\/td>\n<td><code>&lt;img src=http:\/\/example.com\/transfer?to=attacker&amp;amount=1000&gt;<\/code><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n ba\u015far\u0131l\u0131 olabilmesi i\u00e7in, kullan\u0131c\u0131n\u0131n hedef web sitesinde oturum a\u00e7m\u0131\u015f olmas\u0131 ve sald\u0131rgan\u0131n, kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131na k\u00f6t\u00fc ama\u00e7l\u0131 bir istek g\u00f6nderebilmesi gerekir. Bu istek, genellikle bir e-posta, bir web sitesi veya bir forum g\u00f6nderisi arac\u0131l\u0131\u011f\u0131yla yap\u0131l\u0131r. Kullan\u0131c\u0131, bu iste\u011fi t\u0131klad\u0131\u011f\u0131nda, taray\u0131c\u0131 otomatik olarak hedef web sitesine bir istek g\u00f6nderir ve bu istek, kullan\u0131c\u0131n\u0131n kimlik bilgileriyle birlikte g\u00f6nderilir. Bu nedenle, web uygulamalar\u0131n\u0131n <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 korunmas\u0131 son derece \u00f6nemlidir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Saldiri_Senaryolari\"><\/span>Sald\u0131r\u0131 Senaryolar\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131 genellikle \u00e7e\u015fitli senaryolar \u00fczerinden ger\u00e7ekle\u015ftirilir. En yayg\u0131n senaryolardan biri, bir e-posta yoluyla g\u00f6nderilen k\u00f6t\u00fc ama\u00e7l\u0131 bir ba\u011flant\u0131d\u0131r. Kullan\u0131c\u0131 bu ba\u011flant\u0131ya t\u0131klad\u0131\u011f\u0131nda, arka planda bir <strong>CSRF<\/strong> sald\u0131r\u0131s\u0131 tetiklenir ve kullan\u0131c\u0131n\u0131n bilgisi olmadan i\u015flemler ger\u00e7ekle\u015ftirilir. Di\u011fer bir senaryo ise, g\u00fcvenilir bir web sitesine yerle\u015ftirilen k\u00f6t\u00fc ama\u00e7l\u0131 bir resim veya JavaScript kodu arac\u0131l\u0131\u011f\u0131yla sald\u0131r\u0131 yap\u0131lmas\u0131d\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Gerekli_Araclar\"><\/span>Gerekli Ara\u00e7lar<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131 ger\u00e7ekle\u015ftirmek veya test etmek i\u00e7in \u00e7e\u015fitli ara\u00e7lar kullan\u0131labilir. Bu ara\u00e7lar aras\u0131nda Burp Suite, OWASP ZAP ve \u00e7e\u015fitli \u00f6zel komut dosyalar\u0131 (scriptler) bulunur. Bu ara\u00e7lar, sald\u0131rganlar\u0131n sahte istekler olu\u015fturmas\u0131na, HTTP trafi\u011fini analiz etmesine ve g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 tespit etmesine yard\u0131mc\u0131 olur. G\u00fcvenlik uzmanlar\u0131 da bu ara\u00e7lar\u0131 kullanarak web uygulamalar\u0131n\u0131n g\u00fcvenli\u011fini test edebilir ve <strong>CSRF<\/strong> a\u00e7\u0131klar\u0131n\u0131 belirleyebilir.<\/p>\n<p><strong>CSRF Sald\u0131r\u0131s\u0131 Ad\u0131mlar\u0131<\/strong><\/p>\n<ol>\n<li>Hedef web uygulamas\u0131nda zay\u0131fl\u0131klar\u0131n belirlenmesi.<\/li>\n<li>Kullan\u0131c\u0131n\u0131n oturum a\u00e7m\u0131\u015f oldu\u011fu web sitesinde k\u00f6t\u00fc ama\u00e7l\u0131 bir istek olu\u015fturulmas\u0131.<\/li>\n<li>Kullan\u0131c\u0131n\u0131n bu iste\u011fi tetiklemesi i\u00e7in sosyal m\u00fchendislik tekniklerinin kullan\u0131lmas\u0131.<\/li>\n<li>Kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131n\u0131n, sahte iste\u011fi hedef web sitesine g\u00f6ndermesi.<\/li>\n<li>Hedef web sitesinin, iste\u011fi me\u015fru bir kullan\u0131c\u0131 iste\u011fi olarak i\u015flemesi.<\/li>\n<li>Sald\u0131rgan\u0131n, kullan\u0131c\u0131n\u0131n hesab\u0131 \u00fczerinden yetkisiz i\u015flemler ger\u00e7ekle\u015ftirmesi.<\/li>\n<\/ol>\n<h3><span class=\"ez-toc-section\" id=\"Nasil_Onlenir\"><\/span>Nas\u0131l \u00d6nlenir?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131 \u00f6nlemek i\u00e7in \u00e7e\u015fitli y\u00f6ntemler bulunmaktad\u0131r. Bu y\u00f6ntemlerin en yayg\u0131n olanlar\u0131 aras\u0131nda <strong>CSRF<\/strong> token&#8217;lar\u0131, SameSite \u00e7erezleri ve \u00e7ift g\u00f6nderme \u00e7erezleri bulunur. <strong>CSRF<\/strong> token&#8217;lar\u0131, her form veya istek i\u00e7in benzersiz bir de\u011fer olu\u015fturarak, sald\u0131rganlar\u0131n sahte istekler olu\u015fturmas\u0131n\u0131 engeller. SameSite \u00e7erezleri, \u00e7erezlerin yaln\u0131zca ayn\u0131 site \u00fczerindeki isteklerle g\u00f6nderilmesini sa\u011flayarak, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n etkisini azalt\u0131r. \u00c7ift g\u00f6nderme \u00e7erezleri ise, hem bir \u00e7erezde hem de bir form alan\u0131nda ayn\u0131 de\u011ferin g\u00f6nderilmesini gerektirerek, sald\u0131rganlar\u0131n sahte istekler olu\u015fturmas\u0131n\u0131 zorla\u015ft\u0131r\u0131r.<\/p>\n<p>Ek olarak, web uygulamalar\u0131n\u0131n d\u00fczenli olarak g\u00fcvenlik testlerinden ge\u00e7irilmesi ve g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n giderilmesi de <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131 \u00f6nlemek i\u00e7in \u00f6nemlidir. Geli\u015ftiricilerin, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n nas\u0131l \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131 ve nas\u0131l \u00f6nlenebilece\u011fini anlamalar\u0131, g\u00fcvenli uygulamalar geli\u015ftirmek i\u00e7in kritik \u00f6neme sahiptir. Ayr\u0131ca, kullan\u0131c\u0131lar\u0131n da \u015f\u00fcpheli ba\u011flant\u0131lardan ka\u00e7\u0131nmalar\u0131 ve web sitelerinin g\u00fcvenli oldu\u011fundan emin olmalar\u0131 gerekmektedir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRF_Saldirilarina_Karsi_Alinabilecek_Onlemler\"><\/span>CSRF Sald\u0131r\u0131lar\u0131na Kar\u015f\u0131 Al\u0131nabilecek \u00d6nlemler<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF (Cross-Site Request Forgery)<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 al\u0131nabilecek \u00f6nlemler, hem geli\u015ftiriciler hem de kullan\u0131c\u0131lar taraf\u0131ndan uygulanabilecek \u00e7e\u015fitli stratejiler i\u00e7erir. Bu \u00f6nlemler, sald\u0131rganlar\u0131n k\u00f6t\u00fc niyetli isteklerini engellemeyi ve kullan\u0131c\u0131lar\u0131n g\u00fcvenli\u011fini sa\u011flamay\u0131 ama\u00e7lar. Temel olarak, bu \u00f6nlemler, isteklerin me\u015fruiyetini do\u011frulamak ve yetkisiz eri\u015fimi \u00f6nlemek \u00fczerine odaklan\u0131r.<\/p>\n<p>Etkili bir savunma stratejisi i\u00e7in, sunucu taraf\u0131nda ve istemci taraf\u0131nda al\u0131nmas\u0131 gereken \u00f6nlemler bulunmaktad\u0131r. Sunucu taraf\u0131nda, isteklerin orijinalli\u011fini do\u011frulamak i\u00e7in <strong>CSRF<\/strong> token&#8217;lar\u0131 kullanmak, SameSite \u00e7erezleri ile \u00e7erezlerin kapsam\u0131n\u0131 s\u0131n\u0131rlamak ve \u00e7ift g\u00f6nderme \u00e7erezleri kullanmak \u00f6nemlidir. \u0130stemci taraf\u0131nda ise, kullan\u0131c\u0131lar\u0131 bilinmeyen veya g\u00fcvensiz ba\u011flant\u0131lardan uzak durmalar\u0131 konusunda e\u011fitmek ve taray\u0131c\u0131 g\u00fcvenlik ayarlar\u0131n\u0131 do\u011fru yap\u0131land\u0131rmak kritik rol oynar.<\/p>\n<p><strong>Al\u0131nacak \u00d6nlemler<\/strong><\/p>\n<ul>\n<li><strong>CSRF Token&#8217;lar\u0131 Kullanmak:<\/strong> Her oturum i\u00e7in benzersiz bir token olu\u015fturarak isteklerin ge\u00e7erlili\u011fini kontrol edin.<\/li>\n<li><strong>SameSite \u00c7erezleri:<\/strong> \u00c7erezlerin yaln\u0131zca ayn\u0131 site \u00fczerindeki isteklerle g\u00f6nderilmesini sa\u011flayarak <strong>CSRF<\/strong> riskini azalt\u0131n.<\/li>\n<li><strong>\u00c7ift G\u00f6nderme \u00c7erezleri:<\/strong> Hem \u00e7erezde hem de istek g\u00f6vdesinde ayn\u0131 de\u011ferin bulunmas\u0131n\u0131 sa\u011flayarak do\u011frulamay\u0131 g\u00fc\u00e7lendirin.<\/li>\n<li><strong>Orijin Kontrol\u00fc (Origin Header):<\/strong> \u0130steklerin kayna\u011f\u0131n\u0131 kontrol ederek yetkisiz istekleri engelleyin.<\/li>\n<li><strong>Kullan\u0131c\u0131 E\u011fitimleri:<\/strong> Kullan\u0131c\u0131lar\u0131 \u015f\u00fcpheli ba\u011flant\u0131lar ve e-postalara kar\u015f\u0131 bilin\u00e7lendirin.<\/li>\n<li><strong>G\u00fcvenlik Ba\u015fl\u0131klar\u0131:<\/strong> X-Frame-Options ve Content-Security-Policy gibi g\u00fcvenlik ba\u015fl\u0131klar\u0131n\u0131 kullanarak ek koruma sa\u011flay\u0131n.<\/li>\n<\/ul>\n<p>A\u015fa\u011f\u0131daki tabloda, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 al\u0131nabilecek \u00f6nlemlerin bir \u00f6zetini ve her bir \u00f6nlemin ne t\u00fcr sald\u0131r\u0131lara kar\u015f\u0131 etkili oldu\u011funu g\u00f6rebilirsiniz. Bu tablo, geli\u015ftiricilerin ve g\u00fcvenlik uzmanlar\u0131n\u0131n hangi \u00f6nlemleri uygulamalar\u0131 gerekti\u011fi konusunda bilin\u00e7li kararlar vermelerine yard\u0131mc\u0131 olacakt\u0131r.<\/p>\n<table>\n<thead>\n<tr>\n<th>\u00d6nlem<\/th>\n<th>A\u00e7\u0131klama<\/th>\n<th>Etkili Oldu\u011fu Sald\u0131r\u0131lar<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>CSRF<\/strong> Token&#8217;lar\u0131<\/td>\n<td>Her istek i\u00e7in benzersiz bir token olu\u015fturarak iste\u011fin ge\u00e7erlili\u011fini do\u011frular.<\/td>\n<td>Temel <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131<\/td>\n<\/tr>\n<tr>\n<td>SameSite \u00c7erezleri<\/td>\n<td>\u00c7erezlerin yaln\u0131zca ayn\u0131 site \u00fczerindeki isteklerle g\u00f6nderilmesini sa\u011flar.<\/td>\n<td>Siteler aras\u0131 istek sahtecili\u011fi<\/td>\n<\/tr>\n<tr>\n<td>\u00c7ift G\u00f6nderme \u00c7erezleri<\/td>\n<td>Hem \u00e7erezde hem de istek g\u00f6vdesinde ayn\u0131 de\u011ferin bulunmas\u0131n\u0131 gerektirir.<\/td>\n<td>Token \u00e7al\u0131nmas\u0131 veya manip\u00fcle edilmesi<\/td>\n<\/tr>\n<tr>\n<td>Orijin Kontrol\u00fc<\/td>\n<td>\u0130steklerin kayna\u011f\u0131n\u0131 kontrol ederek yetkisiz istekleri engeller.<\/td>\n<td>Alan ad\u0131 sahtecili\u011fi<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Unutulmamal\u0131d\u0131r ki, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 tam bir koruma sa\u011flamak i\u00e7in bu \u00f6nlemlerin bir kombinasyonu kullan\u0131lmal\u0131d\u0131r. Tek ba\u015f\u0131na bir \u00f6nlem, t\u00fcm sald\u0131r\u0131 vekt\u00f6rlerine kar\u015f\u0131 yeterli olmayabilir. Bu nedenle, katmanl\u0131 bir g\u00fcvenlik yakla\u015f\u0131m\u0131 benimsemek ve d\u00fczenli olarak g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 taramak \u00f6nemlidir. Ayr\u0131ca, g\u00fcvenlik politikalar\u0131n\u0131n ve prosed\u00fcrlerinin d\u00fczenli olarak g\u00fcncellenmesi, yeni tehditlere kar\u015f\u0131 haz\u0131rl\u0131kl\u0131 olmay\u0131 sa\u011flar.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRFnin_Etkileri_ve_Sonuclari\"><\/span>CSRF&#8217;nin Etkileri ve Sonu\u00e7lar\u0131<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF<\/strong> (Cross-Site Request Forgery) sald\u0131r\u0131lar\u0131n\u0131n etkileri, hem kullan\u0131c\u0131lar hem de web uygulamalar\u0131 i\u00e7in ciddi sonu\u00e7lar do\u011furabilir. Bu sald\u0131r\u0131lar, yetkisiz i\u015flemlerin ger\u00e7ekle\u015ftirilmesine olanak tan\u0131yarak kullan\u0131c\u0131lar\u0131n hesaplar\u0131n\u0131 ve hassas verilerini tehlikeye atar. Sald\u0131rganlar, kullan\u0131c\u0131lar\u0131n fark\u0131nda olmadan ger\u00e7ekle\u015ftirdi\u011fi eylemleri kullanarak \u00e7e\u015fitli k\u00f6t\u00fc ama\u00e7l\u0131 faaliyetlerde bulunabilirler. Bu durum, sadece bireysel kullan\u0131c\u0131lar i\u00e7in de\u011fil, ayn\u0131 zamanda \u015firketler ve kurulu\u015flar i\u00e7in de b\u00fcy\u00fck bir itibar kayb\u0131na ve finansal zararlara yol a\u00e7abilir.<\/p>\n<p>CSRF sald\u0131r\u0131lar\u0131n\u0131n potansiyel etkilerini anlamak, bu t\u00fcr sald\u0131r\u0131lara kar\u015f\u0131 daha etkili savunma mekanizmalar\u0131 geli\u015ftirmek i\u00e7in kritik \u00f6neme sahiptir. Sald\u0131r\u0131lar, kullan\u0131c\u0131lar\u0131n hesap ayarlar\u0131n\u0131 de\u011fi\u015ftirmekten, para transferi yapmaya ve hatta yetkisiz i\u00e7erik yay\u0131nlamaya kadar geni\u015f bir yelpazede ger\u00e7ekle\u015febilir. Bu t\u00fcr eylemler, kullan\u0131c\u0131lar\u0131n g\u00fcvenini sarsmakla kalmaz, ayn\u0131 zamanda web uygulamalar\u0131n\u0131n g\u00fcvenilirli\u011fini de zedeler.<\/p>\n<p><strong>CSRF&#8217;nin Olumsuz Etkileri<\/strong><\/p>\n<ul>\n<li>Hesap ele ge\u00e7irme ve yetkisiz eri\u015fim.<\/li>\n<li>Kullan\u0131c\u0131 verilerinin manip\u00fcle edilmesi veya silinmesi.<\/li>\n<li>Finansal kay\u0131plar (yetkisiz para transferleri, al\u0131\u015fveri\u015fler).<\/li>\n<li>\u0130tibar kayb\u0131 ve m\u00fc\u015fteri g\u00fcveninin azalmas\u0131.<\/li>\n<li>Web uygulamas\u0131 kaynaklar\u0131n\u0131n k\u00f6t\u00fcye kullan\u0131lmas\u0131.<\/li>\n<li>Hukuki sorunlar ve yasal sorumluluklar.<\/li>\n<\/ul>\n<p>A\u015fa\u011f\u0131daki tabloda, CSRF sald\u0131r\u0131lar\u0131n\u0131n farkl\u0131 senaryolardaki olas\u0131 sonu\u00e7lar\u0131 daha detayl\u0131 bir \u015fekilde incelenmi\u015ftir:<\/p>\n<table>\n<tbody>\n<tr>\n<th>Sald\u0131r\u0131 Senaryosu<\/th>\n<th>Olas\u0131 Sonu\u00e7lar<\/th>\n<th>Etkilenen Taraf<\/th>\n<\/tr>\n<tr>\n<td>Parola De\u011fi\u015fikli\u011fi<\/td>\n<td>Kullan\u0131c\u0131n\u0131n hesab\u0131na eri\u015fimin kaybedilmesi, ki\u015fisel verilerin \u00e7al\u0131nmas\u0131.<\/td>\n<td>Kullan\u0131c\u0131<\/td>\n<\/tr>\n<tr>\n<td>Banka Hesab\u0131ndan Para Transferi<\/td>\n<td>Yetkisiz para transferleri, finansal kay\u0131plar.<\/td>\n<td>Kullan\u0131c\u0131, Banka<\/td>\n<\/tr>\n<tr>\n<td>Sosyal Medya Payla\u015f\u0131m\u0131<\/td>\n<td>\u0130stenmeyen veya zararl\u0131 i\u00e7eriklerin yay\u0131lmas\u0131, itibar kayb\u0131.<\/td>\n<td>Kullan\u0131c\u0131, Sosyal Medya Platformu<\/td>\n<\/tr>\n<tr>\n<td>E-ticaret Sitesinde Sipari\u015f Verme<\/td>\n<td>Yetkisiz \u00fcr\u00fcn sipari\u015fleri, finansal kay\u0131plar.<\/td>\n<td>Kullan\u0131c\u0131, E-ticaret Sitesi<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Bu sonu\u00e7lar, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n ne kadar ciddi olabilece\u011fini g\u00f6stermektedir. Bu nedenle, web geli\u015ftiricilerin ve sistem y\u00f6neticilerinin bu t\u00fcr sald\u0131r\u0131lara kar\u015f\u0131 proaktif \u00f6nlemler almas\u0131 ve kullan\u0131c\u0131lar\u0131 bilin\u00e7lendirmesi b\u00fcy\u00fck \u00f6nem ta\u015f\u0131r. G\u00fc\u00e7l\u00fc savunma mekanizmalar\u0131n\u0131n uygulanmas\u0131, hem kullan\u0131c\u0131lar\u0131n verilerini korumak hem de web uygulamalar\u0131n\u0131n g\u00fcvenilirli\u011fini sa\u011flamak i\u00e7in gereklidir.<\/p>\n<p>Unutulmamal\u0131d\u0131r ki, <strong>etkili bir savunma stratejisi<\/strong> sadece teknik \u00f6nlemlerle s\u0131n\u0131rl\u0131 kalmamal\u0131, ayn\u0131 zamanda kullan\u0131c\u0131lar\u0131n bilin\u00e7lendirilmesi ve e\u011fitilmesi de bu stratejinin ayr\u0131lmaz bir par\u00e7as\u0131 olmal\u0131d\u0131r. Kullan\u0131c\u0131lar\u0131n \u015f\u00fcpheli ba\u011flant\u0131lara t\u0131klamamas\u0131, g\u00fcvenilir olmayan web sitelerinde oturum a\u00e7mamas\u0131 ve d\u00fczenli olarak parolalar\u0131n\u0131 de\u011fi\u015ftirmesi gibi basit \u00f6nlemler, CSRF sald\u0131r\u0131lar\u0131n\u0131n \u00f6nlenmesinde b\u00fcy\u00fck rol oynayabilir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRF_Savunma_Araclari_ve_Yontemleri\"><\/span>CSRF Savunma Ara\u00e7lar\u0131 ve Y\u00f6ntemleri<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF<\/strong> (Cross-Site Request Forgery) sald\u0131r\u0131lar\u0131na kar\u015f\u0131 etkili bir savunma stratejisi olu\u015fturmak, web uygulamalar\u0131n\u0131n g\u00fcvenli\u011fini sa\u011flamak i\u00e7in kritik \u00f6neme sahiptir. Bu sald\u0131r\u0131lar, kullan\u0131c\u0131lar\u0131n bilgisi veya onay\u0131 olmadan yetkisiz i\u015flemler ger\u00e7ekle\u015ftirmeye y\u00f6nelik oldu\u011fu i\u00e7in, \u00e7ok y\u00f6nl\u00fc ve katmanl\u0131 bir savunma yakla\u015f\u0131m\u0131 gereklidir. Bu b\u00f6l\u00fcmde, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131 engellemek ve hafifletmek i\u00e7in kullan\u0131labilecek \u00e7e\u015fitli ara\u00e7lar ve y\u00f6ntemler incelenecektir.<\/p>\n<p>Web uygulamalar\u0131n\u0131n <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 korunmas\u0131nda kullan\u0131lan temel savunma mekanizmalar\u0131ndan biri, senkronize belirte\u00e7 modelidir (Synchronizer Token Pattern &#8211; STP). Bu modelde, sunucu taraf\u0131ndan \u00fcretilen benzersiz bir belirte\u00e7, her kullan\u0131c\u0131 oturumu i\u00e7in saklan\u0131r ve her form g\u00f6nderimi veya kritik i\u015flem talebiyle birlikte g\u00f6nderilir. Sunucu, gelen istekle birlikte gelen belirteci, oturumda saklanan belirte\u00e7le kar\u015f\u0131la\u015ft\u0131rarak iste\u011fin me\u015fru olup olmad\u0131\u011f\u0131n\u0131 do\u011frular. Bu sayede, farkl\u0131 bir site \u00fczerinden gelen sahte istekler engellenmi\u015f olur.<\/p>\n<p><strong>Savunma Ara\u00e7lar\u0131<\/strong><\/p>\n<ul>\n<li><strong>Senkronize Belirte\u00e7 Modeli (STP):<\/strong> Her form i\u00e7in benzersiz belirte\u00e7ler olu\u015fturarak isteklerin orijinalli\u011fini do\u011frular.<\/li>\n<li><strong>\u00c7ift G\u00f6nderimli \u00c7erezler (Double Submit Cookies):<\/strong> Rastgele bir de\u011ferin hem \u00e7erezde hem de istek parametresinde g\u00f6nderilmesiyle <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131 \u00f6nler.<\/li>\n<li><strong>SameSite \u00c7erezleri:<\/strong> \u00c7erezlerin yaln\u0131zca ayn\u0131 site \u00fczerinden gelen isteklerle g\u00f6nderilmesini sa\u011flayarak <strong>CSRF<\/strong> riskini azalt\u0131r.<\/li>\n<li><strong><strong>CSRF<\/strong> K\u00fct\u00fcphaneleri ve Framework&#8217;ler:<\/strong> \u00c7e\u015fitli programlama dilleri ve framework&#8217;ler i\u00e7in geli\u015ftirilmi\u015f, <strong>CSRF<\/strong> korumas\u0131 sa\u011flayan haz\u0131r \u00e7\u00f6z\u00fcmler sunar.<\/li>\n<li><strong>\u0130stek Ba\u015fl\u0131\u011f\u0131 Kontrolleri (Referer\/Origin):<\/strong> \u0130ste\u011fin geldi\u011fi kayna\u011f\u0131 kontrol ederek, yetkisiz kaynaklardan gelen istekleri engeller.<\/li>\n<\/ul>\n<p>A\u015fa\u011f\u0131daki tabloda, farkl\u0131 <strong>CSRF<\/strong> savunma y\u00f6ntemlerinin kar\u015f\u0131la\u015ft\u0131r\u0131lmas\u0131 ve \u00f6zelliklerine dair detayl\u0131 bilgiler sunulmaktad\u0131r. Bu bilgiler, hangi y\u00f6ntemin hangi senaryo i\u00e7in daha uygun oldu\u011funa karar vermede yard\u0131mc\u0131 olabilir.<\/p>\n<table>\n<thead>\n<tr>\n<th>Savunma Y\u00f6ntemi<\/th>\n<th>A\u00e7\u0131klama<\/th>\n<th>Avantajlar\u0131<\/th>\n<th>Dezavantajlar\u0131<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Senkronize Belirte\u00e7 Modeli (STP)<\/td>\n<td>Her form i\u00e7in benzersiz belirte\u00e7 olu\u015fturma<\/td>\n<td>Y\u00fcksek g\u00fcvenlik, yayg\u0131n kullan\u0131m<\/td>\n<td>Sunucu taraf\u0131nda ek y\u00fck, belirte\u00e7 y\u00f6netimi<\/td>\n<\/tr>\n<tr>\n<td>\u00c7ift G\u00f6nderimli \u00c7erezler<\/td>\n<td>\u00c7erez ve istek parametresinde ayn\u0131 de\u011fer<\/td>\n<td>Basit uygulama, durumsuz mimarilerle uyumlu<\/td>\n<td>Alt alan ad\u0131 sorunlar\u0131, baz\u0131 taray\u0131c\u0131 uyumsuzluklar\u0131<\/td>\n<\/tr>\n<tr>\n<td>SameSite \u00c7erezleri<\/td>\n<td>\u00c7erezlerin site d\u0131\u015f\u0131 isteklere kapal\u0131 olmas\u0131<\/td>\n<td>Kolay entegrasyon, taray\u0131c\u0131 d\u00fczeyinde koruma<\/td>\n<td>Eski taray\u0131c\u0131larla uyumsuzluk, \u00e7apraz kaynak gereksinimlerini etkileyebilir<\/td>\n<\/tr>\n<tr>\n<td>\u0130stek Ba\u015fl\u0131\u011f\u0131 Kontrolleri<\/td>\n<td>Referer ve Origin ba\u015fl\u0131klar\u0131n\u0131 kontrol etme<\/td>\n<td>Basit do\u011frulama, ek sunucu y\u00fck\u00fc yok<\/td>\n<td>Ba\u015fl\u0131klar\u0131n manip\u00fcle edilebilir olmas\u0131, g\u00fcvenilirli\u011fin d\u00fc\u015f\u00fck olmas\u0131<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>CSRF<\/strong> savunmas\u0131nda bir di\u011fer \u00f6nemli y\u00f6ntem ise \u00c7ift G\u00f6nderimli \u00c7erezler (Double Submit Cookies) y\u00f6ntemidir. Bu y\u00f6ntemde, sunucu rastgele bir de\u011fer \u00fcretir ve bu de\u011feri hem bir \u00e7erez olarak istemciye g\u00f6nderir, hem de formdaki bir gizli alana yerle\u015ftirir. \u0130stemci formu g\u00f6nderdi\u011finde, hem \u00e7erezdeki de\u011fer hem de formdaki de\u011fer sunucuya iletilir. Sunucu, bu iki de\u011ferin e\u015fle\u015fip e\u015fle\u015fmedi\u011fini kontrol ederek iste\u011fin me\u015fruiyetini do\u011frular. Bu y\u00f6ntem, durumsuz (stateless) uygulamalar i\u00e7in \u00f6zellikle uygundur ve sunucu taraf\u0131nda ek bir oturum y\u00f6netimi gerektirmez.<\/p>\n<p><strong>SameSite \u00e7erezleri<\/strong> de <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 etkili bir savunma mekanizmas\u0131d\u0131r. SameSite \u00f6zelli\u011fi, \u00e7erezlerin yaln\u0131zca ayn\u0131 site \u00fczerinden gelen isteklere dahil edilmesini sa\u011flar. Bu \u00f6zellik sayesinde, farkl\u0131 bir site \u00fczerinden gelen <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131 otomatik olarak engellenmi\u015f olur. Ancak, SameSite \u00e7erezlerinin kullan\u0131m\u0131, t\u00fcm taray\u0131c\u0131lar taraf\u0131ndan desteklenmedi\u011fi i\u00e7in, di\u011fer savunma y\u00f6ntemleriyle birlikte kullan\u0131lmas\u0131 \u00f6nerilir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRF_Saldirilarindan_Korunmak_Icin_Ipuclari\"><\/span>CSRF Sald\u0131r\u0131lar\u0131ndan Korunmak \u0130\u00e7in \u0130pu\u00e7lar\u0131<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF (Cross-Site Request Forgery)<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 korunmak, web uygulamalar\u0131n\u0131n g\u00fcvenli\u011fi i\u00e7in kritik \u00f6neme sahiptir. Bu sald\u0131r\u0131lar, kullan\u0131c\u0131lar\u0131n bilgisi veya onay\u0131 olmadan yetkisiz i\u015flemleri ger\u00e7ekle\u015ftirmek i\u00e7in tasarlanm\u0131\u015ft\u0131r. Bu nedenle, geli\u015ftiricilerin ve sistem y\u00f6neticilerinin bu t\u00fcr sald\u0131r\u0131lara kar\u015f\u0131 etkili savunma mekanizmalar\u0131 uygulamalar\u0131 gerekmektedir. A\u015fa\u011f\u0131da, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 al\u0131nabilecek baz\u0131 temel \u00f6nlemler ve ipu\u00e7lar\u0131 sunulmaktad\u0131r.<\/p>\n<p><strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131ndan korunmak i\u00e7in \u00e7e\u015fitli y\u00f6ntemler bulunmaktad\u0131r. Bu y\u00f6ntemler, genellikle istemci taraf\u0131nda veya sunucu taraf\u0131nda uygulanabilmektedir. En yayg\u0131n kullan\u0131lan y\u00f6ntemlerden biri, <strong>Senkronize Edici Token Deseni (Synchronizer Token Pattern &#8211; STP)<\/strong> kullanmakt\u0131r. Bu y\u00f6ntemde, sunucu her kullan\u0131c\u0131 oturumu i\u00e7in benzersiz bir token olu\u015fturur ve bu token, kullan\u0131c\u0131n\u0131n yapt\u0131\u011f\u0131 her form g\u00f6nderiminde ve kritik i\u015flemlerde yer al\u0131r. Sunucu, gelen istekteki token&#8217;\u0131 oturumdaki token ile kar\u015f\u0131la\u015ft\u0131rarak iste\u011fin ge\u00e7erli olup olmad\u0131\u011f\u0131n\u0131 do\u011frular.<\/p>\n<p>Ayr\u0131ca, <strong>\u00c7ift G\u00f6nderimli \u00c7erez (Double Submit Cookie)<\/strong> y\u00f6ntemi de etkili bir savunma mekanizmas\u0131d\u0131r. Bu y\u00f6ntemde, sunucu bir \u00e7erez arac\u0131l\u0131\u011f\u0131yla bir rastgele de\u011fer g\u00f6nderir ve istemci taraf\u0131ndaki JavaScript kodu bu de\u011feri bir form alan\u0131na veya \u00f6zel bir ba\u015fl\u0131\u011fa ekler. Sunucu, hem \u00e7erezdeki hem de form veya ba\u015fl\u0131k i\u00e7indeki de\u011ferin e\u015fle\u015fti\u011fini do\u011frular. Bu y\u00f6ntem, \u00f6zellikle API&#8217;ler ve AJAX istekleri i\u00e7in uygundur.<\/p>\n<p>A\u015fa\u011f\u0131daki tabloda, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 kullan\u0131lan baz\u0131 temel savunma y\u00f6ntemleri ve \u00f6zelliklerinin kar\u015f\u0131la\u015ft\u0131rmas\u0131 yer almaktad\u0131r.<\/p>\n<table>\n<thead>\n<tr>\n<th>Savunma Y\u00f6ntemi<\/th>\n<th>A\u00e7\u0131klama<\/th>\n<th>Avantajlar\u0131<\/th>\n<th>Dezavantajlar\u0131<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Senkronize Edici Token Deseni (STP)<\/td>\n<td>Her oturum i\u00e7in benzersiz token olu\u015fturulur ve do\u011frulan\u0131r.<\/td>\n<td>Y\u00fcksek g\u00fcvenlik, yayg\u0131n olarak kullan\u0131l\u0131r.<\/td>\n<td>Token y\u00f6netimi gerektirir, karma\u015f\u0131k olabilir.<\/td>\n<\/tr>\n<tr>\n<td>\u00c7ift G\u00f6nderimli \u00c7erez<\/td>\n<td>\u00c7erez ve form\/ba\u015fl\u0131kta ayn\u0131 de\u011ferin do\u011frulanmas\u0131.<\/td>\n<td>Basit uygulama, API&#8217;ler i\u00e7in uygun.<\/td>\n<td>JavaScript gerektirir, \u00e7erez g\u00fcvenli\u011fine ba\u011fl\u0131d\u0131r.<\/td>\n<\/tr>\n<tr>\n<td>SameSite \u00c7erezleri<\/td>\n<td>\u00c7erezlerin yaln\u0131zca ayn\u0131 site istekleriyle g\u00f6nderilmesini sa\u011flar.<\/td>\n<td>Kolay uygulanabilir, ek g\u00fcvenlik katman\u0131 sa\u011flar.<\/td>\n<td>Eski taray\u0131c\u0131larda desteklenmeyebilir, tam koruma sa\u011flamaz.<\/td>\n<\/tr>\n<tr>\n<td>Referer Kontrol\u00fc<\/td>\n<td>\u0130ste\u011fin geldi\u011fi kayna\u011f\u0131n do\u011frulanmas\u0131.<\/td>\n<td>Basit ve h\u0131zl\u0131 kontrol imkan\u0131.<\/td>\n<td>Referer ba\u015fl\u0131\u011f\u0131 manip\u00fcle edilebilir, g\u00fcvenilirli\u011fi d\u00fc\u015f\u00fckt\u00fcr.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>A\u015fa\u011f\u0131da, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 daha somut ve uygulanabilir korunma ipu\u00e7lar\u0131 bulunmaktad\u0131r:<\/p>\n<ol>\n<li><strong>Senkronize Edici Token (STP) Kullan\u0131n:<\/strong> Her kullan\u0131c\u0131 oturumu i\u00e7in benzersiz <strong>CSRF<\/strong> token&#8217;lar\u0131 olu\u015fturun ve form g\u00f6nderimlerinde bu token&#8217;lar\u0131 do\u011frulay\u0131n.<\/li>\n<li><strong>\u00c7ift G\u00f6nderimli \u00c7erez Y\u00f6ntemini Uygulay\u0131n:<\/strong> \u00d6zellikle API ve AJAX isteklerinde, \u00e7erez ve form alanlar\u0131ndaki de\u011ferlerin e\u015fle\u015fti\u011fini kontrol edin.<\/li>\n<li><strong>SameSite \u00c7erez \u00d6zelli\u011fini Kullan\u0131n:<\/strong> \u00c7erezlerin yaln\u0131zca ayn\u0131 site istekleriyle g\u00f6nderilmesini sa\u011flayarak ek bir g\u00fcvenlik katman\u0131 olu\u015fturun. <strong>Strict<\/strong> veya <strong>Lax<\/strong> se\u00e7eneklerini de\u011ferlendirin.<\/li>\n<li><strong>HTTP Ba\u015fl\u0131klar\u0131n\u0131 Do\u011fru Ayarlay\u0131n:<\/strong> <strong>X-Frame-Options<\/strong> ba\u015fl\u0131\u011f\u0131 ile t\u0131klama h\u0131rs\u0131zl\u0131\u011f\u0131 (clickjacking) sald\u0131r\u0131lar\u0131na kar\u015f\u0131 koruma sa\u011flay\u0131n.<\/li>\n<li><strong>Referer Ba\u015fl\u0131\u011f\u0131n\u0131 Kontrol Edin:<\/strong> \u0130ste\u011fin geldi\u011fi kayna\u011f\u0131 do\u011frulamak i\u00e7in <strong>Referer<\/strong> ba\u015fl\u0131\u011f\u0131n\u0131 kontrol edin, ancak bu y\u00f6ntemin tek ba\u015f\u0131na yeterli olmad\u0131\u011f\u0131n\u0131 unutmay\u0131n.<\/li>\n<li><strong>Kullan\u0131c\u0131 Giri\u015flerini Do\u011frulay\u0131n ve Temizleyin:<\/strong> Kullan\u0131c\u0131 giri\u015flerini her zaman do\u011frulay\u0131n ve temizleyin (input validation and sanitization). Bu, <strong>XSS<\/strong> gibi di\u011fer sald\u0131r\u0131 t\u00fcrlerine kar\u015f\u0131 da koruma sa\u011flar.<\/li>\n<li><strong>D\u00fczenli G\u00fcvenlik Testleri Yap\u0131n:<\/strong> Web uygulaman\u0131z\u0131 d\u00fczenli olarak g\u00fcvenlik testlerinden ge\u00e7irin ve g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 tespit ederek giderin.<\/li>\n<\/ol>\n<p>Bu \u00f6nlemlerin yan\u0131 s\u0131ra, kullan\u0131c\u0131lar\u0131n\u0131z\u0131 da <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131 konusunda bilin\u00e7lendirmek \u00f6nemlidir. Kullan\u0131c\u0131lar\u0131n, tan\u0131mad\u0131klar\u0131 veya g\u00fcvenmedikleri kaynaklardan gelen ba\u011flant\u0131lara t\u0131klamamalar\u0131 ve her zaman g\u00fcvenli web uygulamalar\u0131n\u0131 tercih etmeleri \u00f6nerilmelidir. Unutulmamal\u0131d\u0131r ki, g\u00fcvenlik \u00e7ok katmanl\u0131 bir yakla\u015f\u0131mla sa\u011flan\u0131r ve her \u00f6nlem, genel g\u00fcvenlik duru\u015funu g\u00fc\u00e7lendirir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRF_Saldirilarina_Dair_Guncel_Istatistikler\"><\/span>CSRF Sald\u0131r\u0131lar\u0131na Dair G\u00fcncel \u0130statistikler<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF<\/strong> (Cross-Site Request Forgery) sald\u0131r\u0131lar\u0131, web uygulamalar\u0131 i\u00e7in s\u00fcrekli bir tehdit olu\u015fturmaya devam ediyor. G\u00fcncel istatistikler, bu sald\u0131r\u0131lar\u0131n yayg\u0131nl\u0131\u011f\u0131n\u0131 ve potansiyel etkilerini g\u00f6zler \u00f6n\u00fcne sermektedir. \u00d6zellikle e-ticaret siteleri, bankac\u0131l\u0131k uygulamalar\u0131 ve sosyal medya platformlar\u0131 gibi kullan\u0131c\u0131 etkile\u015fiminin yo\u011fun oldu\u011fu alanlar, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131 i\u00e7in cazip hedeflerdir. Bu nedenle, geli\u015ftiricilerin ve g\u00fcvenlik uzmanlar\u0131n\u0131n bu sald\u0131r\u0131 t\u00fcr\u00fcne kar\u015f\u0131 bilin\u00e7li olmalar\u0131 ve etkili savunma mekanizmalar\u0131 geli\u015ftirmeleri b\u00fcy\u00fck \u00f6nem ta\u015f\u0131maktad\u0131r.<\/p>\n<p><strong>G\u00fcncel \u0130statistikler<\/strong><\/p>\n<ul>\n<li>2023 y\u0131l\u0131nda web uygulama sald\u0131r\u0131lar\u0131n\u0131n %15&#8217;ini <strong>CSRF<\/strong> olu\u015fturdu.<\/li>\n<li>E-ticaret sitelerine y\u00f6nelik <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131nda %20 art\u0131\u015f g\u00f6zlemlendi.<\/li>\n<li>Finans sekt\u00f6r\u00fcnde <strong>CSRF<\/strong> kaynakl\u0131 veri ihlalleri %12 artt\u0131.<\/li>\n<li>Mobil uygulamalardaki <strong>CSRF<\/strong> zafiyetleri son bir y\u0131lda %18 y\u00fckseldi.<\/li>\n<li><strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n ortalama maliyeti bir \u00f6nceki y\u0131la g\u00f6re %10 artt\u0131.<\/li>\n<li>En s\u0131k hedef al\u0131nan sekt\u00f6rler aras\u0131nda finans, perakende ve sa\u011fl\u0131k yer al\u0131yor.<\/li>\n<\/ul>\n<p>A\u015fa\u011f\u0131daki tablo, farkl\u0131 sekt\u00f6rlerdeki <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n da\u011f\u0131l\u0131m\u0131n\u0131 ve etkilerini \u00f6zetlemektedir. Bu veriler, risk de\u011ferlendirmesi yaparken ve g\u00fcvenlik \u00f6nlemleri al\u0131rken dikkate al\u0131nmas\u0131 gereken \u00f6nemli bilgiler sunmaktad\u0131r.<\/p>\n<table>\n<thead>\n<tr>\n<th>Sekt\u00f6r<\/th>\n<th>Sald\u0131r\u0131 Oran\u0131 (%)<\/th>\n<th>Ortalama Maliyet (TL)<\/th>\n<th>Veri \u0130hlali Say\u0131s\u0131<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Finans<\/td>\n<td>25<\/td>\n<td>500,000<\/td>\n<td>15<\/td>\n<\/tr>\n<tr>\n<td>E-ticaret<\/td>\n<td>20<\/td>\n<td>350,000<\/td>\n<td>12<\/td>\n<\/tr>\n<tr>\n<td>Sa\u011fl\u0131k<\/td>\n<td>15<\/td>\n<td>250,000<\/td>\n<td>8<\/td>\n<\/tr>\n<tr>\n<td>Sosyal Medya<\/td>\n<td>10<\/td>\n<td>150,000<\/td>\n<td>5<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n etkilerini azaltmak i\u00e7in, geli\u015ftiricilerin ve sistem y\u00f6neticilerinin d\u00fczenli olarak g\u00fcvenlik testleri yapmalar\u0131, g\u00fcncel g\u00fcvenlik yamalar\u0131n\u0131 uygulamalar\u0131 ve kullan\u0131c\u0131lar\u0131 bu t\u00fcr sald\u0131r\u0131lara kar\u015f\u0131 bilin\u00e7lendirmeleri gerekmektedir. Ayr\u0131ca, <strong>Senkronizasyon Jetonlar\u0131 (Synchronizer Tokens)<\/strong> ve <strong>\u00c7ift G\u00f6nderimli \u00c7erezler (Double Submit Cookies)<\/strong> gibi savunma mekanizmalar\u0131n\u0131n do\u011fru bir \u015fekilde uygulanmas\u0131, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n ba\u015far\u0131 oran\u0131n\u0131 \u00f6nemli \u00f6l\u00e7\u00fcde d\u00fc\u015f\u00fcrebilir.<\/p>\n<p>G\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131 taraf\u0131ndan yay\u0131nlanan raporlar, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n s\u00fcrekli olarak evrim ge\u00e7irdi\u011fini ve yeni varyasyonlar\u0131n\u0131n ortaya \u00e7\u0131kt\u0131\u011f\u0131n\u0131 g\u00f6stermektedir. Bu nedenle, g\u00fcvenlik stratejilerinin de s\u00fcrekli olarak g\u00fcncellenmesi ve geli\u015ftirilmesi gerekmektedir. G\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n tespiti ve giderilmesi i\u00e7in proaktif bir yakla\u015f\u0131m benimsemek, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n olas\u0131 etkilerini en aza indirecektir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRFnin_Onemi_ve_Aksiyon_Plani\"><\/span>CSRF&#8217;nin \u00d6nemi ve Aksiyon Plan\u0131<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF (Cross-Site Request Forgery)<\/strong> sald\u0131r\u0131lar\u0131, web uygulamalar\u0131n\u0131n g\u00fcvenli\u011fi i\u00e7in ciddi bir tehdit olu\u015fturur. Bu sald\u0131r\u0131lar, yetkili bir kullan\u0131c\u0131n\u0131n fark\u0131nda olmadan k\u00f6t\u00fc niyetli eylemler ger\u00e7ekle\u015ftirmesine neden olabilir. \u00d6rne\u011fin, bir sald\u0131rgan kullan\u0131c\u0131n\u0131n \u015fifresini de\u011fi\u015ftirebilir, para transferi yapabilir veya hassas verileri manip\u00fcle edebilir. Bu nedenle, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 proaktif bir yakla\u015f\u0131m benimsemek ve etkili bir aksiyon plan\u0131 olu\u015fturmak kritik \u00f6neme sahiptir.<\/p>\n<table>\n<thead>\n<tr>\n<th>Risk Seviyesi<\/th>\n<th>Olas\u0131 Etkiler<\/th>\n<th>\u00d6nleyici Tedbirler<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Y\u00fcksek<\/td>\n<td>Kullan\u0131c\u0131 hesaplar\u0131n\u0131n ele ge\u00e7irilmesi, veri ihlalleri, finansal kay\u0131plar<\/td>\n<td><strong>CSRF<\/strong> token&#8217;lar\u0131, SameSite \u00e7erezleri, \u00e7ift fakt\u00f6rl\u00fc kimlik do\u011frulama<\/td>\n<\/tr>\n<tr>\n<td>Orta<\/td>\n<td>\u0130stenmeyen profil de\u011fi\u015fiklikleri, yetkisiz i\u00e7erik yay\u0131nlama<\/td>\n<td>Referer kontrol\u00fc, kullan\u0131c\u0131 etkile\u015fimi gerektiren i\u015flemler<\/td>\n<\/tr>\n<tr>\n<td>D\u00fc\u015f\u00fck<\/td>\n<td>K\u00fc\u00e7\u00fck \u00e7apl\u0131 veri manip\u00fclasyonlar\u0131, rahats\u0131z edici eylemler<\/td>\n<td>Basit do\u011frulama mekanizmalar\u0131, oran s\u0131n\u0131rlamas\u0131<\/td>\n<\/tr>\n<tr>\n<td>Belirsiz<\/td>\n<td>Sistem a\u00e7\u0131klar\u0131na ba\u011fl\u0131 etkiler, \u00f6ng\u00f6r\u00fclemeyen sonu\u00e7lar<\/td>\n<td>S\u00fcrekli g\u00fcvenlik taramalar\u0131, kod incelemeleri<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>Aksiyon Plan\u0131<\/strong>, web uygulaman\u0131z\u0131n <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 dayan\u0131kl\u0131l\u0131\u011f\u0131n\u0131 art\u0131rmak i\u00e7in at\u0131lmas\u0131 gereken ad\u0131mlar\u0131 i\u00e7erir. Bu plan, risk de\u011ferlendirmesi, g\u00fcvenlik \u00f6nlemlerinin uygulanmas\u0131, test s\u00fcre\u00e7leri ve s\u00fcrekli izleme gibi \u00e7e\u015fitli a\u015famalar\u0131 kapsar. Unutulmamal\u0131d\u0131r ki, <strong>CSRF<\/strong>&#8216;ye kar\u015f\u0131 al\u0131nacak \u00f6nlemler sadece teknik \u00e7\u00f6z\u00fcmlerle s\u0131n\u0131rl\u0131 kalmamal\u0131, ayn\u0131 zamanda kullan\u0131c\u0131 bilin\u00e7lendirme e\u011fitimlerini de i\u00e7ermelidir.<\/p>\n<p><strong>Aksiyon Plan\u0131<\/strong><\/p>\n<ol>\n<li><strong>Risk De\u011ferlendirmesi:<\/strong> Web uygulaman\u0131zdaki potansiyel <strong>CSRF<\/strong> zafiyetlerini belirleyin.<\/li>\n<li><strong><strong>CSRF<\/strong> Token Uygulamas\u0131:<\/strong> T\u00fcm kritik formlar ve API istekleri i\u00e7in benzersiz <strong>CSRF<\/strong> token&#8217;lar\u0131 kullan\u0131n.<\/li>\n<li><strong>SameSite \u00c7erezleri:<\/strong> \u00c7erezlerinizi SameSite \u00f6zelli\u011fi ile koruyarak, cross-site isteklerde g\u00f6nderilmesini engelleyin.<\/li>\n<li><strong>Referer Kontrol\u00fc:<\/strong> Gelen isteklerin kayna\u011f\u0131n\u0131 do\u011frulay\u0131n ve \u015f\u00fcpheli istekleri engelleyin.<\/li>\n<li><strong>Kullan\u0131c\u0131 Bilin\u00e7lendirme:<\/strong> Kullan\u0131c\u0131lar\u0131n\u0131z\u0131 kimlik av\u0131 ve di\u011fer sosyal m\u00fchendislik sald\u0131r\u0131lar\u0131na kar\u015f\u0131 e\u011fitin.<\/li>\n<li><strong>G\u00fcvenlik Testleri:<\/strong> D\u00fczenli olarak penetrasyon testleri ve g\u00fcvenlik taramalar\u0131 yaparak zafiyetleri tespit edin.<\/li>\n<li><strong>S\u00fcrekli \u0130zleme:<\/strong> Uygulaman\u0131zdaki anormal aktiviteleri izleyerek potansiyel <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131 tespit edin.<\/li>\n<\/ol>\n<p>Ba\u015far\u0131l\u0131 bir <strong>CSRF<\/strong> savunma stratejisi, s\u00fcrekli dikkat ve g\u00fcncellemeler gerektirir. Web teknolojileri ve sald\u0131r\u0131 y\u00f6ntemleri s\u00fcrekli de\u011fi\u015fti\u011fi i\u00e7in, g\u00fcvenlik \u00f6nlemlerinizi d\u00fczenli olarak g\u00f6zden ge\u00e7irmeli ve g\u00fcncellemelisiniz. Ayr\u0131ca, geli\u015ftirme ekibinizi <strong>CSRF<\/strong> ve di\u011fer web g\u00fcvenlik a\u00e7\u0131klar\u0131 konusunda e\u011fitmek, uygulaman\u0131z\u0131n g\u00fcvenli\u011fini sa\u011flamak i\u00e7in at\u0131lacak en \u00f6nemli ad\u0131mlardan biridir. G\u00fcvenli bir web ortam\u0131 i\u00e7in, <strong>CSRF<\/strong>&#8216;ye kar\u015f\u0131 bilin\u00e7li ve haz\u0131rl\u0131kl\u0131 olmak hayati \u00f6nem ta\u015f\u0131r.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CSRF_ile_Bas_Etmenin_En_Etkili_Yollari\"><\/span>CSRF ile Ba\u015f Etmenin En Etkili Yollar\u0131<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF<\/strong> (Cross-Site Request Forgery) sald\u0131r\u0131lar\u0131, web uygulamalar\u0131n\u0131n g\u00fcvenli\u011fini tehdit eden ciddi bir sorundur. Bu t\u00fcr sald\u0131r\u0131lar, kullan\u0131c\u0131lar\u0131n bilgisi veya izni olmadan yetkisiz eylemler ger\u00e7ekle\u015ftirmesine neden olabilir. <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131yla ba\u015fa \u00e7\u0131kmak i\u00e7in \u00e7e\u015fitli etkili y\u00f6ntemler bulunmaktad\u0131r ve bu y\u00f6ntemlerin do\u011fru bir \u015fekilde uygulanmas\u0131, web uygulamalar\u0131n\u0131n g\u00fcvenli\u011fini \u00f6nemli \u00f6l\u00e7\u00fcde art\u0131rabilir. Bu b\u00f6l\u00fcmde, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 al\u0131nabilecek en etkili y\u00f6ntemleri ve stratejileri inceleyece\u011fiz.<\/p>\n<table>\n<thead>\n<tr>\n<th>Y\u00f6ntem<\/th>\n<th>A\u00e7\u0131klama<\/th>\n<th>Uygulama Zorlu\u011fu<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Senkronize Token Pattern (STP)<\/td>\n<td>Her kullan\u0131c\u0131 oturumu i\u00e7in benzersiz bir token olu\u015fturulur ve her form g\u00f6nderiminde bu token kontrol edilir.<\/td>\n<td>Orta<\/td>\n<\/tr>\n<tr>\n<td>Double Submit Cookie<\/td>\n<td>Bir \u00e7erez ve bir form alan\u0131nda ayn\u0131 de\u011feri kullan\u0131r; sunucu, de\u011ferlerin e\u015fle\u015fti\u011fini do\u011frular.<\/td>\n<td>Kolay<\/td>\n<\/tr>\n<tr>\n<td>SameSite Cookie Attribute<\/td>\n<td>\u00c7erezlerin yaln\u0131zca ayn\u0131 site istekleriyle g\u00f6nderilmesini sa\u011flar, b\u00f6ylece cross-site isteklerde \u00e7erez g\u00f6nderilmez.<\/td>\n<td>Kolay<\/td>\n<\/tr>\n<tr>\n<td>Referer Header Kontrol\u00fc<\/td>\n<td>\u0130ste\u011fin geldi\u011fi kayna\u011f\u0131 kontrol ederek, yetkisiz kaynaklardan gelen istekleri engeller.<\/td>\n<td>Orta<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 korunmada en yayg\u0131n ve etkili y\u00f6ntemlerden biri, Senkronize Token Pattern (STP) kullanmakt\u0131r. STP, her kullan\u0131c\u0131 oturumu i\u00e7in benzersiz bir token olu\u015fturulmas\u0131n\u0131 ve bu tokenin her form g\u00f6nderiminde do\u011frulanmas\u0131n\u0131 i\u00e7erir. Bu token, genellikle gizli bir form alan\u0131nda veya bir HTTP ba\u015fl\u0131\u011f\u0131nda g\u00f6nderilir ve sunucu taraf\u0131nda do\u011frulan\u0131r. Bu sayede, sald\u0131rganlar\u0131n ge\u00e7erli bir token olmadan yetkisiz istekler g\u00f6ndermesi engellenir.<\/p>\n<p><strong>Etkili Y\u00f6ntemler<\/strong><\/p>\n<ul>\n<li>Senkronize Token Pattern (STP) uygulamak<\/li>\n<li>Double Submit Cookie y\u00f6ntemini kullanmak<\/li>\n<li>SameSite Cookie \u00f6zelli\u011fini etkinle\u015ftirmek<\/li>\n<li>\u0130steklerin kayna\u011f\u0131n\u0131 (Referer Header) kontrol etmek<\/li>\n<li>Kullan\u0131c\u0131 giri\u015flerini ve \u00e7\u0131kt\u0131lar\u0131n\u0131 dikkatlice do\u011frulamak<\/li>\n<li>Ek g\u00fcvenlik katmanlar\u0131 eklemek (\u00f6rne\u011fin, CAPTCHA)<\/li>\n<\/ul>\n<p>Bir di\u011fer etkili y\u00f6ntem ise Double Submit Cookie tekni\u011fidir. Bu teknikte, sunucu bir \u00e7erez i\u00e7inde rastgele bir de\u011fer ayarlar ve ayn\u0131 de\u011feri bir form alan\u0131nda da kullan\u0131r. Sunucu, form g\u00f6nderildi\u011finde \u00e7erezdeki ve form alan\u0131ndaki de\u011ferlerin e\u015fle\u015fip e\u015fle\u015fmedi\u011fini kontrol eder. E\u011fer de\u011ferler e\u015fle\u015fmiyorsa, istek reddedilir. Bu y\u00f6ntem, <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131 \u00f6nlemede olduk\u00e7a etkilidir \u00e7\u00fcnk\u00fc sald\u0131rganlar \u00e7erez de\u011ferini okuyamaz veya de\u011fi\u015ftiremezler.<\/p>\n<p>SameSite cookie \u00f6zelli\u011fi de <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131na kar\u015f\u0131 \u00f6nemli bir savunma mekanizmas\u0131d\u0131r. SameSite \u00f6zelli\u011fi, \u00e7erezlerin yaln\u0131zca ayn\u0131 site istekleriyle g\u00f6nderilmesini sa\u011flar. Bu, cross-site isteklerde \u00e7erezlerin otomatik olarak g\u00f6nderilmesini engeller ve b\u00f6ylece <strong>CSRF<\/strong> sald\u0131r\u0131lar\u0131n\u0131n ba\u015far\u0131l\u0131 olma olas\u0131l\u0131\u011f\u0131n\u0131 azalt\u0131r. Bu \u00f6zelli\u011fi etkinle\u015ftirmek, modern web taray\u0131c\u0131lar\u0131nda olduk\u00e7a kolayd\u0131r ve web uygulamalar\u0131n\u0131n g\u00fcvenli\u011fini art\u0131rmak i\u00e7in at\u0131lmas\u0131 gereken \u00f6nemli bir ad\u0131md\u0131r.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Sik_Sorulan_Sorular\"><\/span>S\u0131k Sorulan Sorular<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>CSRF sald\u0131r\u0131s\u0131 durumunda, kullan\u0131c\u0131 hesab\u0131m ele ge\u00e7irilmeden hangi t\u00fcr eylemler ger\u00e7ekle\u015ftirilebilir?<\/strong><\/p>\n<p>CSRF sald\u0131r\u0131lar\u0131 genellikle kullan\u0131c\u0131n\u0131n kimlik bilgilerini \u00e7almak yerine, kullan\u0131c\u0131n\u0131n oturumu a\u00e7\u0131kken onun ad\u0131na yetkisiz i\u015flemler yapmay\u0131 hedefler. \u00d6rne\u011fin, parola de\u011fi\u015ftirme, e-posta adresini g\u00fcncelleme, para transferi yapma veya forumlarda\/sosyal medyada g\u00f6nderi yay\u0131nlama gibi i\u015flemler ger\u00e7ekle\u015ftirilebilir. Sald\u0131rgan, kullan\u0131c\u0131n\u0131n zaten yetkili oldu\u011fu eylemleri onun bilgisi olmadan ger\u00e7ekle\u015ftirir.<\/p>\n<p><strong>CSRF sald\u0131r\u0131lar\u0131n\u0131n ba\u015far\u0131l\u0131 olmas\u0131 i\u00e7in kullan\u0131c\u0131n\u0131n hangi ko\u015fullar\u0131 sa\u011flamas\u0131 gerekir?<\/strong><\/p>\n<p>CSRF sald\u0131r\u0131s\u0131n\u0131n ba\u015far\u0131l\u0131 olabilmesi i\u00e7in, kullan\u0131c\u0131n\u0131n hedef web sitesinde oturumunun a\u00e7\u0131k olmas\u0131 ve sald\u0131rgan\u0131n, kullan\u0131c\u0131n\u0131n oturum a\u00e7t\u0131\u011f\u0131 siteye benzer bir talep g\u00f6nderebilmesi gerekir. Temel olarak, kullan\u0131c\u0131 hedef web sitesinde kimli\u011fi do\u011frulanm\u0131\u015f olmal\u0131 ve sald\u0131rgan, bu kimlik do\u011frulamas\u0131n\u0131 taklit edebilmelidir.<\/p>\n<p><strong>CSRF token&#8217;lar\u0131 tam olarak nas\u0131l \u00e7al\u0131\u015f\u0131r ve neden bu kadar etkili bir savunma mekanizmas\u0131d\u0131r?<\/strong><\/p>\n<p>CSRF token&#8217;lar\u0131, her kullan\u0131c\u0131 oturumu i\u00e7in benzersiz ve tahmin edilmesi zor bir de\u011fer \u00fcretir. Bu token, sunucu taraf\u0131ndan olu\u015fturulur ve bir form veya ba\u011flant\u0131 yoluyla istemciye g\u00f6nderilir. \u0130stemci, sunucuya bir talep g\u00f6nderdi\u011finde, bu token&#8217;\u0131 da i\u00e7erir. Sunucu, gelen talebin token&#8217;\u0131n\u0131 beklenen token ile kar\u015f\u0131la\u015ft\u0131r\u0131r ve e\u015fle\u015fme olmazsa, talebi reddeder. Bu, sald\u0131rgan\u0131n kendi \u00fcretti\u011fi bir taleple kullan\u0131c\u0131n\u0131n kimli\u011fini taklit etmesini zorla\u015ft\u0131r\u0131r, \u00e7\u00fcnk\u00fc ge\u00e7erli bir token&#8217;a sahip olamaz.<\/p>\n<p><strong>SameSite \u00e7erezleri CSRF sald\u0131r\u0131lar\u0131na kar\u015f\u0131 nas\u0131l bir koruma sa\u011flar ve hangi s\u0131n\u0131rlamalar\u0131 vard\u0131r?<\/strong><\/p>\n<p>SameSite \u00e7erezleri, bir \u00e7erezin yaln\u0131zca ayn\u0131 siteden yap\u0131lan isteklerle g\u00f6nderilmesine izin vererek CSRF sald\u0131r\u0131lar\u0131n\u0131 azalt\u0131r. \u00dc\u00e7 farkl\u0131 de\u011feri vard\u0131r: Strict (\u00e7erez sadece ayn\u0131 site i\u00e7indeki isteklerde g\u00f6nderilir), Lax (\u00e7erez, site i\u00e7i ve g\u00fcvenli (HTTPS) site d\u0131\u015f\u0131 isteklerde g\u00f6nderilir) ve None (\u00e7erez her istekte g\u00f6nderilir). &#8216;Strict&#8217; en g\u00fc\u00e7l\u00fc korumay\u0131 sa\u011flarken, baz\u0131 durumlarda kullan\u0131c\u0131 deneyimini etkileyebilir. &#8216;None&#8217; ise &#8216;Secure&#8217; \u00f6zelli\u011fi ile birlikte kullan\u0131lmal\u0131d\u0131r ve en zay\u0131f korumay\u0131 sunar. S\u0131n\u0131rlamalar\u0131, baz\u0131 eski taray\u0131c\u0131lar taraf\u0131ndan desteklenmemesi ve uygulaman\u0131n gereksinimlerine ba\u011fl\u0131 olarak farkl\u0131 SameSite de\u011ferlerinin se\u00e7ilmesi gerekebilmesidir.<\/p>\n<p><strong>Geli\u015ftiriciler, mevcut web uygulamalar\u0131nda CSRF savunmas\u0131n\u0131 nas\u0131l uygulayabilir veya iyile\u015ftirebilir?<\/strong><\/p>\n<p>Geli\u015ftiriciler, \u00f6ncelikle CSRF token&#8217;lar\u0131n\u0131 uygulamal\u0131 ve bunlar\u0131 her form ve AJAX iste\u011fine dahil etmelidir. Ayr\u0131ca, SameSite \u00e7erezlerini uygun \u015fekilde yap\u0131land\u0131rmal\u0131d\u0131r (genellikle &#8216;Strict&#8217; veya &#8216;Lax&#8217; \u00f6nerilir). Ek olarak, \u00e7ift g\u00f6nderim \u00e7erezi (double submit cookie) gibi ek savunma mekanizmalar\u0131 da kullan\u0131labilir. D\u00fczenli olarak g\u00fcvenlik testleri yapmak ve web uygulama g\u00fcvenlik duvar\u0131 (WAF) kullanmak da CSRF sald\u0131r\u0131lar\u0131na kar\u015f\u0131 koruma sa\u011flayabilir.<\/p>\n<p><strong>CSRF sald\u0131r\u0131s\u0131 tespit edildi\u011finde yap\u0131lmas\u0131 gereken acil ad\u0131mlar nelerdir?<\/strong><\/p>\n<p>CSRF sald\u0131r\u0131s\u0131 tespit edildi\u011finde, \u00f6ncelikle etkilenen kullan\u0131c\u0131lar\u0131 ve potansiyel olarak tehlikeye at\u0131lan i\u015flemleri belirlemek \u00f6nemlidir. Kullan\u0131c\u0131lar\u0131 bilgilendirmek ve parolalar\u0131n\u0131 s\u0131f\u0131rlamalar\u0131n\u0131 \u00f6nermek iyi bir uygulamad\u0131r. Sistemdeki g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 yamamak ve sald\u0131r\u0131 vekt\u00f6r\u00fcn\u00fc kapatmak kritik \u00f6neme sahiptir. Ayr\u0131ca, sald\u0131r\u0131n\u0131n kayna\u011f\u0131n\u0131 analiz etmek ve gelecekteki sald\u0131r\u0131lar\u0131 \u00f6nlemek i\u00e7in log kay\u0131tlar\u0131n\u0131 incelemek gereklidir.<\/p>\n<p><strong>CSRF&#8217;ye kar\u015f\u0131 savunma stratejileri, tek sayfal\u0131k uygulamalar (SPA) ve geleneksel \u00e7ok sayfal\u0131 uygulamalar (MPA) i\u00e7in farkl\u0131l\u0131k g\u00f6sterir mi? E\u011fer \u00f6yleyse, neden?<\/strong><\/p>\n<p>Evet, CSRF&#8217;ye kar\u015f\u0131 savunma stratejileri SPA&#8217;lar ve MPA&#8217;lar i\u00e7in farkl\u0131l\u0131k g\u00f6sterir. MPA&#8217;larda, sunucu taraf\u0131nda CSRF token&#8217;lar\u0131 olu\u015fturulup formlara eklenir. SPA&#8217;larda ise genellikle API \u00e7a\u011fr\u0131lar\u0131 yap\u0131ld\u0131\u011f\u0131ndan, token&#8217;lar HTTP ba\u015fl\u0131klar\u0131na eklenir veya \u00e7ift g\u00f6nderim \u00e7erezi (double submit cookie) tekni\u011fi kullan\u0131l\u0131r. SPA&#8217;lar\u0131n istemci taraf\u0131nda daha fazla JavaScript kodu bulunmas\u0131, sald\u0131r\u0131 y\u00fczeyini art\u0131rabilir, bu nedenle daha dikkatli olunmal\u0131d\u0131r. Ayr\u0131ca, CORS (Cross-Origin Resource Sharing) yap\u0131land\u0131rmas\u0131 da SPA&#8217;lar i\u00e7in \u00f6nemlidir.<\/p>\n<p><strong>Web uygulama g\u00fcvenli\u011fi ba\u011flam\u0131nda, CSRF&#8217;nin di\u011fer yayg\u0131n sald\u0131r\u0131 t\u00fcrleriyle (XSS, SQL Injection, vb.) ili\u015fkisi nedir? Savunma stratejileri nas\u0131l entegre edilebilir?<\/strong><\/p>\n<p>CSRF, XSS (Cross-Site Scripting) ve SQL Injection gibi di\u011fer yayg\u0131n sald\u0131r\u0131 t\u00fcrlerinden farkl\u0131 bir amaca hizmet eder, ancak s\u0131kl\u0131kla birbirleriyle birle\u015ftirilerek kullan\u0131l\u0131rlar. \u00d6rne\u011fin, XSS sald\u0131r\u0131s\u0131 kullan\u0131larak bir CSRF sald\u0131r\u0131s\u0131 tetiklenebilir. Bu nedenle, katmanl\u0131 bir g\u00fcvenlik yakla\u015f\u0131m\u0131 benimsemek \u00f6nemlidir. XSS&#8217;e kar\u015f\u0131 giri\u015f verilerini temizlemek ve \u00e7\u0131k\u0131\u015f verilerini kodlamak, SQL Injection&#8217;a kar\u015f\u0131 parametrelendirilmi\u015f sorgular kullanmak ve CSRF&#8217;ye kar\u015f\u0131 CSRF token&#8217;lar\u0131 uygulamak gibi farkl\u0131 savunma mekanizmalar\u0131 birlikte kullan\u0131lmal\u0131d\u0131r. G\u00fcvenlik a\u00e7\u0131klar\u0131 i\u00e7in d\u00fczenli taramalar yapmak ve g\u00fcvenlik bilincini art\u0131rmak da entegre bir g\u00fcvenlik stratejisinin par\u00e7as\u0131d\u0131r.<\/p>\n<p><script type=\"application\/ld+json\">{\"@context\":\"https:\/\/schema.org\",\"@type\":\"FAQPage\",\"mainEntity\":[{\"@type\":\"Question\",\"name\":\"CSRF saldu0131ru0131su0131 durumunda, kullanu0131cu0131 hesabu0131m ele geu00e7irilmeden hangi tu00fcr eylemler geru00e7ekleu015ftirilebilir?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"CSRF saldu0131ru0131laru0131 genellikle kullanu0131cu0131nu0131n kimlik bilgilerini u00e7almak yerine, kullanu0131cu0131nu0131n oturumu au00e7u0131kken onun adu0131na yetkisiz iu015flemler yapmayu0131 hedefler. u00d6rneu011fin, parola deu011fiu015ftirme, e-posta adresini gu00fcncelleme, para transferi yapma veya forumlarda\/sosyal medyada gu00f6nderi yayu0131nlama gibi iu015flemler geru00e7ekleu015ftirilebilir. Saldu0131rgan, kullanu0131cu0131nu0131n zaten yetkili olduu011fu eylemleri onun bilgisi olmadan geru00e7ekleu015ftirir.\"}},{\"@type\":\"Question\",\"name\":\"CSRF saldu0131ru0131laru0131nu0131n bau015faru0131lu0131 olmasu0131 iu00e7in kullanu0131cu0131nu0131n hangi kou015fullaru0131 sau011flamasu0131 gerekir?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"CSRF saldu0131ru0131su0131nu0131n bau015faru0131lu0131 olabilmesi iu00e7in, kullanu0131cu0131nu0131n hedef web sitesinde oturumunun au00e7u0131k olmasu0131 ve saldu0131rganu0131n, kullanu0131cu0131nu0131n oturum au00e7tu0131u011fu0131 siteye benzer bir talep gu00f6nderebilmesi gerekir. Temel olarak, kullanu0131cu0131 hedef web sitesinde kimliu011fi dou011frulanmu0131u015f olmalu0131 ve saldu0131rgan, bu kimlik dou011frulamasu0131nu0131 taklit edebilmelidir.\"}},{\"@type\":\"Question\",\"name\":\"CSRF token'laru0131 tam olarak nasu0131l u00e7alu0131u015fu0131r ve neden bu kadar etkili bir savunma mekanizmasu0131du0131r?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"CSRF token'laru0131, her kullanu0131cu0131 oturumu iu00e7in benzersiz ve tahmin edilmesi zor bir deu011fer u00fcretir. Bu token, sunucu tarafu0131ndan oluu015fturulur ve bir form veya bau011flantu0131 yoluyla istemciye gu00f6nderilir. u0130stemci, sunucuya bir talep gu00f6nderdiu011finde, bu token'u0131 da iu00e7erir. Sunucu, gelen talebin token'u0131nu0131 beklenen token ile karu015fu0131lau015ftu0131ru0131r ve eu015fleu015fme olmazsa, talebi reddeder. Bu, saldu0131rganu0131n kendi u00fcrettiu011fi bir taleple kullanu0131cu0131nu0131n kimliu011fini taklit etmesini zorlau015ftu0131ru0131r, u00e7u00fcnku00fc geu00e7erli bir token'a sahip olamaz.\"}},{\"@type\":\"Question\",\"name\":\"SameSite u00e7erezleri CSRF saldu0131ru0131laru0131na karu015fu0131 nasu0131l bir koruma sau011flar ve hangi su0131nu0131rlamalaru0131 vardu0131r?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"SameSite u00e7erezleri, bir u00e7erezin yalnu0131zca aynu0131 siteden yapu0131lan isteklerle gu00f6nderilmesine izin vererek CSRF saldu0131ru0131laru0131nu0131 azaltu0131r. u00dcu00e7 farklu0131 deu011feri vardu0131r: Strict (u00e7erez sadece aynu0131 site iu00e7indeki isteklerde gu00f6nderilir), Lax (u00e7erez, site iu00e7i ve gu00fcvenli (HTTPS) site du0131u015fu0131 isteklerde gu00f6nderilir) ve None (u00e7erez her istekte gu00f6nderilir). 'Strict' en gu00fcu00e7lu00fc korumayu0131 sau011flarken, bazu0131 durumlarda kullanu0131cu0131 deneyimini etkileyebilir. 'None' ise 'Secure' u00f6zelliu011fi ile birlikte kullanu0131lmalu0131du0131r ve en zayu0131f korumayu0131 sunar. Su0131nu0131rlamalaru0131, bazu0131 eski tarayu0131cu0131lar tarafu0131ndan desteklenmemesi ve uygulamanu0131n gereksinimlerine bau011flu0131 olarak farklu0131 SameSite deu011ferlerinin seu00e7ilmesi gerekebilmesidir.\"}},{\"@type\":\"Question\",\"name\":\"Geliu015ftiriciler, mevcut web uygulamalaru0131nda CSRF savunmasu0131nu0131 nasu0131l uygulayabilir veya iyileu015ftirebilir?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Geliu015ftiriciler, u00f6ncelikle CSRF token'laru0131nu0131 uygulamalu0131 ve bunlaru0131 her form ve AJAX isteu011fine dahil etmelidir. Ayru0131ca, SameSite u00e7erezlerini uygun u015fekilde yapu0131landu0131rmalu0131du0131r (genellikle 'Strict' veya 'Lax' u00f6nerilir). Ek olarak, u00e7ift gu00f6nderim u00e7erezi (double submit cookie) gibi ek savunma mekanizmalaru0131 da kullanu0131labilir. Du00fczenli olarak gu00fcvenlik testleri yapmak ve web uygulama gu00fcvenlik duvaru0131 (WAF) kullanmak da CSRF saldu0131ru0131laru0131na karu015fu0131 koruma sau011flayabilir.\"}},{\"@type\":\"Question\",\"name\":\"CSRF saldu0131ru0131su0131 tespit edildiu011finde yapu0131lmasu0131 gereken acil adu0131mlar nelerdir?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"CSRF saldu0131ru0131su0131 tespit edildiu011finde, u00f6ncelikle etkilenen kullanu0131cu0131laru0131 ve potansiyel olarak tehlikeye atu0131lan iu015flemleri belirlemek u00f6nemlidir. Kullanu0131cu0131laru0131 bilgilendirmek ve parolalaru0131nu0131 su0131fu0131rlamalaru0131nu0131 u00f6nermek iyi bir uygulamadu0131r. Sistemdeki gu00fcvenlik au00e7u0131klaru0131nu0131 yamamak ve saldu0131ru0131 vektu00f6ru00fcnu00fc kapatmak kritik u00f6neme sahiptir. Ayru0131ca, saldu0131ru0131nu0131n kaynau011fu0131nu0131 analiz etmek ve gelecekteki saldu0131ru0131laru0131 u00f6nlemek iu00e7in log kayu0131tlaru0131nu0131 incelemek gereklidir.\"}},{\"@type\":\"Question\",\"name\":\"CSRF'ye karu015fu0131 savunma stratejileri, tek sayfalu0131k uygulamalar (SPA) ve geleneksel u00e7ok sayfalu0131 uygulamalar (MPA) iu00e7in farklu0131lu0131k gu00f6sterir mi? Eu011fer u00f6yleyse, neden?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Evet, CSRF'ye karu015fu0131 savunma stratejileri SPA'lar ve MPA'lar iu00e7in farklu0131lu0131k gu00f6sterir. MPA'larda, sunucu tarafu0131nda CSRF token'laru0131 oluu015fturulup formlara eklenir. SPA'larda ise genellikle API u00e7au011fru0131laru0131 yapu0131ldu0131u011fu0131ndan, token'lar HTTP bau015flu0131klaru0131na eklenir veya u00e7ift gu00f6nderim u00e7erezi (double submit cookie) tekniu011fi kullanu0131lu0131r. SPA'laru0131n istemci tarafu0131nda daha fazla JavaScript kodu bulunmasu0131, saldu0131ru0131 yu00fczeyini artu0131rabilir, bu nedenle daha dikkatli olunmalu0131du0131r. Ayru0131ca, CORS (Cross-Origin Resource Sharing) yapu0131landu0131rmasu0131 da SPA'lar iu00e7in u00f6nemlidir.\"}},{\"@type\":\"Question\",\"name\":\"Web uygulama gu00fcvenliu011fi bau011flamu0131nda, CSRF'nin diu011fer yaygu0131n saldu0131ru0131 tu00fcrleriyle (XSS, SQL Injection, vb.) iliu015fkisi nedir? Savunma stratejileri nasu0131l entegre edilebilir?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"CSRF, XSS (Cross-Site Scripting) ve SQL Injection gibi diu011fer yaygu0131n saldu0131ru0131 tu00fcrlerinden farklu0131 bir amaca hizmet eder, ancak su0131klu0131kla birbirleriyle birleu015ftirilerek kullanu0131lu0131rlar. u00d6rneu011fin, XSS saldu0131ru0131su0131 kullanu0131larak bir CSRF saldu0131ru0131su0131 tetiklenebilir. Bu nedenle, katmanlu0131 bir gu00fcvenlik yaklau015fu0131mu0131 benimsemek u00f6nemlidir. XSS'e karu015fu0131 giriu015f verilerini temizlemek ve u00e7u0131ku0131u015f verilerini kodlamak, SQL Injection'a karu015fu0131 parametrelendirilmiu015f sorgular kullanmak ve CSRF'ye karu015fu0131 CSRF token'laru0131 uygulamak gibi farklu0131 savunma mekanizmalaru0131 birlikte kullanu0131lmalu0131du0131r. Gu00fcvenlik au00e7u0131klaru0131 iu00e7in du00fczenli taramalar yapmak ve gu00fcvenlik bilincini artu0131rmak da entegre bir gu00fcvenlik stratejisinin paru00e7asu0131du0131r.\"}}]}<\/script><\/p>\n<p>Daha fazla bilgi: <a href=\"https:\/\/owasp.org\/www-project-top-ten\/\" target=\"_blank\" rel=\"noopener noreferrer\">OWASP Top Ten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bu blog yaz\u0131s\u0131, web g\u00fcvenli\u011finin \u00f6nemli bir par\u00e7as\u0131 olan CSRF (Cross-Site Request Forgery) sald\u0131r\u0131lar\u0131n\u0131 ve bu sald\u0131r\u0131lara kar\u015f\u0131 savunma tekniklerini detayl\u0131ca incelemektedir. CSRF (Cross-Site Request Forgery)&#8217;nin ne oldu\u011fu, sald\u0131r\u0131lar\u0131n nas\u0131l ger\u00e7ekle\u015fti\u011fi ve nelere yol a\u00e7abilece\u011fi a\u00e7\u0131klanmaktad\u0131r. Ayr\u0131ca, bu t\u00fcr sald\u0131r\u0131lara kar\u015f\u0131 al\u0131nabilecek \u00f6nlemler, kullan\u0131labilecek savunma ara\u00e7lar\u0131 ve y\u00f6ntemleri \u00fczerinde durulmaktad\u0131r. Yaz\u0131, CSRF (Cross-Site Request Forgery) [&hellip;]<\/p>\n","protected":false},"author":94,"featured_media":20926,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"googlesitekit_rrm_CAow5YvFDA:productID":"","footnotes":""},"categories":[419],"tags":[1123,1131,1129,880,968],"class_list":["post-9816","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guvenlik","tag-csrf","tag-hacker-saldirilari","tag-savunma-teknikleri","tag-siber-guvenlik","tag-web-guvenligi"],"_links":{"self":[{"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/posts\/9816","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/users\/94"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/comments?post=9816"}],"version-history":[{"count":0,"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/posts\/9816\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/media\/20926"}],"wp:attachment":[{"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/media?parent=9816"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/categories?post=9816"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostragons.com\/id\/wp-json\/wp\/v2\/tags?post=9816"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}