0
Kayıt Ol

Security Token Hatası ve Çözümü

3

4.751

  • 10-08-2008, 16:38:36
    #1
    Cagonni
    Cagonni
    CSRF (Cross Site Request Forgery) nedir?

    Alıntı
    Saldırganın site üzerinde izinsiz olarak veri yollaması değiştirmesi.Yani kullanıcının site üzerinde yapabileceği olayları dışarıdan izinsiz olarak yapmak.Kullanıcı adına mesaj yollamak,çıkış yapmak,yazı yazmak,şayet bir banka sistemiyse para transferi gibi.Csrf’nin xss’ten farkı şudur.Yapılan şeyler direk kullanıcı yetkisiyle yapılır xss’deki gibi cookie çalmaya gerek yoktur.Tabi xss’le örtüşen yanı ise bazı sistemlerde get yöntemi ile işlemler gerçekleştirildiğinden bir sayfaya gömerek kurbana yedirme gibi.
    Bildiğiniz gibi Vbulletin bunun için bir güvenlik sistemi koydu ve bu sistemi dosyalar için ayrı ayrı aktif hale getirdi.Yani her dosyanın kodlamasına

    define('CSRF_PROTECTION', true)

    gibi bir kod koydu.Bizde eklediğimiz eklentilerin bu çeşit bir açığa sebebiyet vereceğini bilmeden kurduğumuz için en ufak bir saldırı ihtimalinde koruma devreye girip scriptin çalışmasını engelliyordu.Peki biz ne yapıyoruz en kısa yolu seçip true yazan yeri false yapıp bu dosyada korumayı kaldırıyoruz.Evet bunu bende yapıyorum

    Ama vbulletin.org gezintilerimden birinde bir eklentiye rastladım.Bu eklenti yüklediğimiz addonların bu çeşit saldırılarını veya saldırı risklerini sıfırlıyor.Sonuçta aynı korumayı yapıyor ama hata vermiyor.
    3.6.9 versiyonunda kendileri denemişler.
    3.7.2 versiyonunda ben denedim.

    [ITECH] Inferno CSRF Auto Protection - vBulletin.org Forum

    Eklentiyi yayınlamak için izin istedim.Eğer verirse burada yayınlarım.Eğer izin vermezse lisanslı kullanıcı olmanız gerekecek
  • 11-08-2008, 03:26:43
    #2
    Diyar_Life
    Diyar_Life
    hadi hayırlısı bekliyoruz
  • 11-08-2008, 16:05:00
    #4
    Cagonni
    Cagonni
    iyide arkadaşım bunda dosya editleme yok.Bir addon işliyorsun ve herşey bitiyor.