ASP.Net Core Projelerinde Güvenlik- Cross-Site Request Forgery(CRSF) Giriş
Önceki yazımda ASP.Net Core projelerinde HTMLEncoder/JavascriptEncode/UrlEncoder Kavramları hakkında bilgi vermiştim. Bu yazımda ise Cross-Site Request Forgery(CRSF) konusuna giriş yapacağım. Faydalı olması dileğiyle . 🙂

Cross-Site Request Forgery (CSRF) ‘nin Türkçe karşılığı siteler arası istek hırsızlığı olarak çevirilebilir.
- Başrolde üç tane aktör vardır.
-Kurbanın bilgisayarı,
-Banka Uygulaması,
-Saldırgan
Peki senaryo nasıldır ?
- Kurban banka uygulamasına giriş yapar. Giriş yaptığında kullanıcı bilgileri yani kullanıcı adı ve şifresiyle sisteme giriş işlemini gerçekleştirir.
- Her şeyden habersiz sistemde havale-eft işlemleri yapar . Farklı işlemler geçekleştirir.
- Bu sırada banka uygulaması kullanıcıyı varolan cookie bilgilerinden tanır.
- Burada sıklıkla yapılan durumlardan biri, kullanııcıya gönderilen “Cep telefonu kazandınız.”, “Tatil kazandınız.” gibi phishing mailleridir.
- Bu maillere tıklandığında kurban saldırganın web sitesine yönlendirilir.
- Bu web siteleri çoğunlukla içerisinde bir tane form elemanı bulundurur.
- Form etiketinin içerisinde genellikle action olarak kullanıcının girdiği banka uygulamasının URL’i yer alır. Ve method olarak da POST, GET vs belirlenir.
- Kullanıcının varolan cookie bilgileri ile banka uygulamasının URL’ine istek gönderildiğinde,banka uygulaması eğer gelen isteğin dışarıdan bir istek olduğunu kontrol etmezse, kurbanın hesabından saldırganın hesabına para akışı olabilir. 🙁

Bir sonraki yazımda Cross-Site Request Forgery(CRSF) uygulamalarından bahsedeceğim. Görüşmek üzere.
https://github.com/KardelRuveyda/ASPNetSecurity kodları Github ‘da oluşturduğum Repository’den inceleyebilisiniz.
Kaynakça
- https://www.udemy.com/course/aspnet-core-security/ ( Fatih Çakıroğlu- ASPNET Core Security)