CSRF (Cross Site Request Forgery) nedir?
Alıntı
Saldırganın site üzerinde izinsiz olarak veri yollaması değiştirmesi.Yani kullanıcının site üzerinde yapabileceği olayları dışarıdan izinsiz olarak yapmak.Kullanıcı adına mesaj yollamak,çıkış yapmak,yazı yazmak,şayet bir banka sistemiyse para transferi gibi.Csrf’nin xss’ten farkı şudur.Yapılan şeyler direk kullanıcı yetkisiyle yapılır xss’deki gibi cookie çalmaya gerek yoktur.Tabi xss’le örtüşen yanı ise bazı sistemlerde get yöntemi ile işlemler gerçekleştirildiğinden bir sayfaya gömerek kurbana yedirme gibi.
Bildiğiniz gibi Vbulletin bunun için bir güvenlik sistemi koydu ve bu sistemi dosyalar için ayrı ayrı aktif hale getirdi.Yani her dosyanın kodlamasına
define('CSRF_PROTECTION', true)
gibi bir kod koydu.Bizde eklediğimiz eklentilerin bu çeşit bir açığa sebebiyet vereceğini bilmeden kurduğumuz için en ufak bir saldırı ihtimalinde koruma devreye girip scriptin çalışmasını engelliyordu.Peki biz ne yapıyoruz en kısa yolu seçip true yazan yeri false yapıp bu dosyada korumayı kaldırıyoruz.Evet bunu bende yapıyorum
Ama vbulletin.org gezintilerimden birinde
bir eklentiye rastladım.Bu eklenti yüklediğimiz addonların bu çeşit saldırılarını veya saldırı risklerini sıfırlıyor.Sonuçta aynı korumayı yapıyor ama hata vermiyor.
3.6.9 versiyonunda kendileri denemişler.
3.7.2 versiyonunda ben denedim.
[ITECH] Inferno CSRF Auto Protection - vBulletin.org Forum
Eklentiyi yayınlamak için izin istedim.Eğer verirse burada yayınlarım.Eğer izin vermezse lisanslı kullanıcı olmanız gerekecek
