0
Kayıt Ol

CSRF İşlemleri Nasıl Olmalı?

3

130

  • 03-01-2026, 15:57:21
    #1
    soylenmezsmt
    soylenmezsmt
    Selamlar,

    CSRF,js bazlı üretiliyor.
    Üretildikten sonra kullanılan her tokeni invalid yapmak açısından sistemde used adında bir küme açıyorum veya bir yere kaydettiriyorum çok güzel ama ortalama bir kullanıcı çok fazla işlem yaptığını varsayarsak ve her işleminde yeni bir token verirsek sunucumuz yavaşlayacaktır.

    Peki JS'yi client side olarak ürettiriyoruz ve bu üretilen değeri server'a da bildiremeyiz.
    Server'a bildirmek için bir endpoint yapsak bu sefer de saldırgan ilgili endpointi kullanarak kendi kafasından 1 veya 2 veya 3 gibi her türlü value'yi korumayı bypasslayacak.

    Bu şekilde işin içinde kaldım
    Ne yapmalıyım fikriniz var mı?
    Güncel csrf korumaları hangi mantıkta işliyor?
  • 03-01-2026, 16:05:29
    #2
    tolgasen
    tolgasen
    🌐 𝘀𝗼𝗰𝗶𝗳𝗹𝘆.𝗰𝗼𝗺
    CSRF token client tarafında üretilmez hiçbir zaman. Mutlaka server tarafında üretilmelidir. Client tarafında üretilen bir değeri her saldırgan kolaylıkla üretebilir.

    Tokeni her requestte neden invalid yapacaksınız onu anlamlandıramadım. Bir token üretin ve onu session ile ilişkilendirin. Bu defa token bir başkasının sessionunda çalışmayacaktır.

    Tokeni bir yere kaydetmenize vs. gerek yok. Session ile ilişkilendirdiğinizde o token ile bir başkası zaten işlem yapamaz. Aynı kullanıcı istek yapma yetkisine sahip olur.
  • 03-01-2026, 16:11:57
    #3
    soylenmezsmt
    soylenmezsmt
    tolgasen adlı üyeden alıntı: mesajı görüntüle
    CSRF token client tarafında üretilmez hiçbir zaman. Mutlaka server tarafında üretilmelidir. Client tarafında üretilen bir değeri her saldırgan kolaylıkla üretebilir.

    Tokeni her requestte neden invalid yapacaksınız onu anlamlandıramadım. Bir token üretin ve onu session ile ilişkilendirin. Bu defa token bir başkasının sessionunda çalışmayacaktır.

    Tokeni bir yere kaydetmenize vs. gerek yok. Session ile ilişkilendirdiğinizde o token ile bir başkası zaten işlem yapamaz. Aynı kullanıcı istek yapma yetkisine sahip olur.
    Teşekkür ederim. Perfect Paneld'de csrf'ler her işlemde sıfırlanıyor o yüzden onun gibi yapayım dedim.
    Bu daha mantıklı oldu,tekrardan teşekkür ediyorum
  • 03-01-2026, 16:14:04
    #4
    tolgasen
    tolgasen
    🌐 𝘀𝗼𝗰𝗶𝗳𝗹𝘆.𝗰𝗼𝗺
    soylenmezsmt adlı üyeden alıntı: mesajı görüntüle
    Teşekkür ederim. Perfect Paneld'de csrf'ler her işlemde sıfırlanıyor o yüzden onun gibi yapayım dedim.
    Bu daha mantıklı oldu,tekrardan teşekkür ediyorum
    Her işlemde sıfırlanması açıkçası bana mantıksız geldi. Ama siz de sıfırlansın isterseniz timestamp değerini kullanabilirsiniz. Hem bu şekilde replay attack kontrolü de yapabilirsiniz.