Client-Side Request Forgery (CSRF) Attack
Client-Side Request Forgery (CSRF) Attack, Türkçe’ye “Müşteri Tarafından Talep Sahtekarlığı Saldırısı” olarak çevrilebilir. Bu saldırı türü, bir kötü niyetli kullanıcının, hedef bir web sitesini hacklemek için kullanıcı adı ve şifre gibi bilgileri ele geçirmek yerine, meşru bir kullanıcının kimliğini kullanarak web sitesine istekler göndermesine dayanmaktadır.
Bu saldırının işleyişini şöyle düşünebilirsin: bir kullanıcının meşru bir web sitesinde oturum açtığını varsayalım ve bu kullanıcının oturumu açık kalmış olsun. Bu sırada, kötü niyetli bir kullanıcı da, bu web sitesine benzer görünümlü bir sahte web sitesi hazırlar. Ardından, meşru kullanıcının oturum açıkken otomatik olarak bu sahte web sitesine yönlendirilmesini sağlar.
Meşru kullanıcı, sahte web sitesinde bir butona tıkladığında, gerçekte gitmek istediği web sitesine istek göndermek yerine, sahte web sitesine yönelik bir istek göndermiş olur. Bu istek, meşru kullanıcının kimliğiyle gönderildiği için web sitesi tarafından kabul edilir. Kötü niyetli kullanıcı bu şekilde, meşru kullanıcının hesabı üzerinden web sitesine zararlı istekler gönderir veya duyarlı bilgileri ele geçirir.
Bu saldırı türünden korunmak için, web sitesi geliştiricileri, kullanıcıların kimliğini doğrulayan ve token adı verilen özel bir tür kod kullanırlar. Bu tokenlar, her istekte yenilenir ve sadece belirli bir istek için geçerlidir. Böylece, bir kötü niyetli kullanıcının sahte bir web sitesinde elde ettiği token, gerçek web sitesinde kullanılamaz hale gelir.
Türkçe’de açıklandığı gibi, CSRF saldırısı, bir kullanıcının farkında olmadan web sitesine istek göndermesiyle gerçekleşir. Kullanıcıların bu tür saldırılardan korunmak için, güvenliği sağlamak amacıyla web sitesi geliştiricileri tarafından geliştirilen özel çözümler kullanmaları önerilir.