CSRF (Cross-Site Request Forgery) istifadəçiyə daxil olduğu vebsaytda icazəsiz hərəkət etməyə imkan verən veb zəifliyidir. Bu tip hücumlar istifadəçi etibarlı vebsayta daxil olarkən təcavüzkar tərəfindən hazırlanmış zərərli vebsayta daxil olduqda baş verir. Təcavüzkar istifadəçinin brauzerində səlahiyyətli hərəkəti yerinə yetirmək üçün istifadəçi daxil olduğu müddətdə brauzerdən istifadə edir.

CSRF hücumları, təcavüzkarlara hədəf vebsaytda icazəsiz hərəkətlər etməyə imkan verən veb zəifliyidir. Bu cür hücumlar adətən aşağıdakı səbəblərə görə həyata keçirilir:

1. Səlahiyyətli Əməliyyatların yerinə yetirilməsi: CSRF hücumları istifadəçi daxil olduqdan sonra hədəf internet saytında səlahiyyətli əməliyyatların həyata keçirilməsinə imkan verir. Təcavüzkarlar bu icazəli əməliyyatlardan istifadə edərək istifadəçilərin xəbəri olmadan istənilən əməliyyatları həyata keçirə bilərlər. Məsələn, istifadəçi adına olan bank hesabından pul köçürülə bilər və ya sosial media hesabında mesajlar yerləşdirilə bilər.

2. Zərərli Fəaliyyətlərin yerinə yetirilməsi: CSRF hücumları təcavüzkarlara hədəf vebsaytda zərərli hərəkətlər etməyə imkan verir. Məsələn, istifadəçinin hesabından məlumat oğurlana bilər, istifadəçi zərərli proqram təminatı ilə yoluxmuş ola bilər və ya istifadəçi digər zərərli məzmuna yönləndirilə bilər.

3. İstifadəçi etibarının pozulması: CSRF hücumları hədəf veb-saytın etibarlılığını və istifadəçi etibarını sarsıda bilər. İstifadəçilər məlumatlarının icazəsiz istifadəsindən narahat ola bilərlər ki, bu da onların vebsayta etibarını itirməsinə səbəb ola bilər.

4. Mənfəət əldə etmək: Bəzi hallarda təcavüzkarlar hədəf internet səhifəsində icazə verilən əməliyyatlardan istifadə edərək mənfəət əldə etməyi hədəfləyə bilərlər. Məsələn, istifadəçilərin hesablarından pul çıxarmaqla və ya onlayn alış-veriş saytlarında saxta sifarişlər verməklə qazanc əldə edə bilərlər.

CSRF hücumları adətən veb proqramlarında zəifliyi olan saytlarda baş verir. Buna görə də, veb tərtibatçıları üçün təhlükəsizlik tədbirlərini daim yeniləmək və veb tətbiqlərini qorumaq vacibdir. Bundan əlavə, istifadəçilərin təhlükəsizlik baxımından şüurlu olması və etibarsız mənbələrdən gələn sorğulara qarşı diqqətli olması vacibdir.

CSRF hücumları adətən aşağıdakı addımları əhatə edir:

1. İstifadəçi Daxildir: İstifadəçi hədəf veb-sayta daxil olur və öz sessiyası aktiv olmaqla brauzer sessiyası yaradır.

2. Zərərli Səhifə Ziyarəti: İstifadəçi zərərli hücumçu tərəfindən yaradılmış vebsayta daxil olur. Bu zərərli sayt hədəf veb-saytda icazəli əməliyyatlar həyata keçirmək üçün istifadə olunacaq zərərli sorğu yaradır.

3. Səlahiyyətli Sorğunun Göndərilməsi: Brauzer istifadəçinin xəbəri olmadan zərərli sorğunu hədəf vebsayta göndərir. Bu sorğu istifadəçinin icazə verdiyi hərəkəti yerinə yetirmək üçün istifadəçi məlumatından istifadə edir.

4. Əməliyyat yerinə yetirildi: Hədəf veb-sayt zərərli sorğunu istifadəçinin sessiyasının aktiv olduğu kontekstdə emal edir və nəticədə səlahiyyətli bir əməliyyat həyata keçirir.

CSRF hücumları adətən aşağıdakı üsullarla istifadə olunur:

– Avtomatik Forma Göndərmə: Təcavüzkar hədəf vebsaytdakı forma bənzər zərərli formanı saxtalaşdırır və onu istifadəçiyə göstərir. Forma avtomatik olaraq brauzer tərəfindən təqdim olunur və istifadəçinin xəbəri olmadan səlahiyyətli bir hərəkət edilir.

– Şəkil və ya Linkin Yerləşdirilməsi: Təcavüzkar zərərli sorğunu şəkil və ya linkə daxil edir. İstifadəçi bu şəkilə və ya linkə kliklədikdə sorğu avtomatik olaraq brauzer tərəfindən göndərilir.

CSRF hücumlarından qorunmaq üçün veb proqramları yuxarıda qeyd olunan qorunma üsullarından birini və ya bir neçəsini istifadə edə bilər. Bu tədbirlər istifadəçi seanslarını və sorğularını təmin etməklə CSRF hücumlarının qarşısını almağa kömək edir.

CSRF hücumlarından qorunma üsullarına veb proqramların təhlükəsizliyini artırmaq üçün müxtəlif üsullar və tədbirlər daxildir. Tez-tez istifadə olunan CSRF qoruma üsulları bunlardır:

1. CSRF Token İstifadəsi: Veb proqramları çox vaxt CSRF tokenlərindən istifadə edərək hücumlara qarşı qorunur. Bu tokenlər hər sorğu üçün unikal autentifikasiya açarı kimi xidmət edir. Server tərəfində yaradılmış bu token, forma və ya keçid kimi istifadəçi tərəfindən göndərilən hər sorğu ilə server tərəfindən yoxlanılır. Beləliklə, təcavüzkarın jeton olmadan sorğu göndərməsinin qarşısı alınır.

2. SameSite Cookie Attribution: SameSite kuki atributu brauzerə kukinin üçüncü tərəf saytları arasında necə paylaşıldığına nəzarət etməyə imkan verir. “Lax” və ya “Strict” olaraq təyin edilmiş SameSite xüsusiyyəti brauzerin kuki-ni yalnız eyni sayt daxilində sorğularla göndərməsini təmin edir. Bu, CSRF hücumlarını çətinləşdirir və ya qarşısını alır.

3. Referer Check: Server tərəfində daxil olan sorğunun Referer başlığını yoxlamaq sorğunun haradan gəldiyini müəyyən etməyə kömək edə bilər. Bununla belə, Referer başlığı etibarlı məlumat mənbəyi olmaya bilər, çünki bəzi brauzerlər Referer başlığını göndərmir və ya istifadəçi tərəfindən dəyişdirilə bilər.

4. Double Submit Cookie: Bu üsulda server həm HTTP kukisində, həm də forma məlumatı sahəsində CSRF işarəsi göndərir. Server bu iki dəyərin uyğun olub olmadığını yoxlayaraq sorğunu təsdiqləyir. Bu üsul XSS hücumlarına qarşı həssas ola bilər, çünki o, tokenin brauzerdə kuki kimi saxlanmasını tələb edir.

5. HTTP Metoduna Nəzarət: Veb proqram serveri cavab verən əməliyyatlar üçün HTTP metoduna nəzarət edə bilər. Məsələn, məlumatların dəyişdirilməsi və ya silinməsi kimi kritik əməliyyatlar yalnız POST və ya PUT kimi müəyyən HTTP üsulları ilə edilə bilər. Bu, təcavüzkarın GET sorğularından istifadə edərək həssas əməliyyatlar yerinə yetirməsinin qarşısını alır.

6. Taymerin İstifadəsi (Nonce): Server hər sorğu üçün unikal vaxt möhürü (nonce) yaratmaqla CSRF hücumlarının qarşısını ala bilər. Bu vaxt möhürü sorğunun müəyyən vaxt ərzində serverə çatdığını yoxlayır. Bu üsul, taymerin müddəti bitdikdə sorğuların server tərəfindən rədd edilməsini təmin edir. Bu üsullardan birini və ya bir neçəsini istifadə etmək veb proqramları CSRF hücumlarına qarşı daha təhlükəsiz etməyə kömək edə bilər. Bununla belə, hər bir veb tətbiqinin ehtiyacları fərqli olduğundan, ən uyğun qorunma üsulları nəzərə alınmalı və həyata keçirilməlidir.