Asp.Net Web Güvenliği : CSRF Attacks


Web güvenliği serimizin başka bir konusu CSRF (Cross-Site Request Forgery) saldırısı ve savunma yöntemleri. MVC projelerimizde bu saldırıyı çok kolay bir şekilde dekarte edebiliyoruz.Hemen açıklamaya çalışayım.

Öncelikle CSRF nedir kabaca üzerinden geçelim. Saldırgan kişi , sitemiz üzerinden login oldu ve bir session oluşturdu. Saldırgan , aynı zamanda kendi hazırladığı bir site var ve bu site üzerinden bizim sitenin fonksiyonlarını ve servislerini çağırmaya çalışıyor (aynı form ve buton gibi). Session açtığı için güvensiz siteden çağrılan method sanki bizim sitenin üzerinden çağrılmış gibi işlem görecektir. Amacımız bunu engellemektir.

Mvc projelerimizde cshtml sayfalarımızda get ve post yaptığımız form nesnelerinde kullanmalıyız. HtmlHelper.AntiForgeryToken methodu yardımıyla aşağıdaki gibi kolayca form nesnemize ekliyoruz ;



Daha sonra Controller tarafında çağrılan Action üzerinde aşağıdaki gibi bir FilterAttribute ekliyoruz ;

İşte bu kadar . Bu şekilde CSRF saldırılarını önlemiş bulunmaktayız. Eğer Ajax ile kullanmaya çalışırsanız yukarıdaki yapı çalışmayacaktır. Aşağıdaki örneği inceleyiniz. Anti-Csrf Ajax;

Yorumlar

Yorum Gönder

Evet şimdi yorumlar ;

Bu blogdaki popüler yayınlar

Philips 246E9Q LCD Monitör Kutu Açılışı

Resim
İş yerinde kullandığım yeni monitörün küçük bir kutu açılışı ve incelemesini paylaşmak istiyorum. Yaklaşık 1 ay kullanımdan sonra bu yazıyı yayınlıyorum. Fiyat olarak bir bilgim yok çünkü sağolsun iş yerim bu hizmeti sağlıyor :D İncelediğim ürün , Philips 246E9Q LCD Monitör . 23.8 inç boyutunda ve 1920*1080 çözünürlüğüne sahip bir üründen bahsediyoruz. Kutuyu açtığınızda manzara bu şekilde. Batarya , hdmi kablosu ve vga kablosu kutu içerisinden çıkıyor. Vga çıkması da eski sistemlere sahip olan kişiler için düşünülmüş güzel bir detay. Ürün , şık bir panele sahip. İnce çerçeveli olması ise büyüklük algısını destekliyor. O değilde bu sıfır ürün açmak çok keyifli değil mi ya ? Tam bir meditasyon. Şöyle ürünü kısaca özetlersem ; Mavi ışığı kısıp gözü az yoran teknoloji yani Low Blue ve Flicker Free teknolojisine sahip Titreşimi en aza indiren FreeSync teknolojisi  23.8 inç ile boyutu ideal (niye 24 inç değil acaba) Çereçevesiz şık panel Dahili hoparlör ,
Devamı

Iyzico Error Code 11

Resim
  Hatalı iyzico entegrasyonları esnasında sıklıkla karşılaşılan ve iyzico api tarafından detaylı bir error message dönmeyen bir hata kodudur. Eğer " Iyzico Error Code 11 " ile bir hata kodu alıyor ve ödeme formunu başlatacağınız form html verisi servisten dönmüyorsa istek atarken büyük ihtimal bir yerde hata yapıyorsunuz. Öncelikle eğer profesyonel bir destek ve sanal pos kurulumu hakkında yardım talep ederseniz aşağıda yer alan bağlantılardan direkt bana ulaşabilirsiniz ; *Mail atmak için tıklayınız veya twitter üzerinden ulaşınız Iyzico Error Code 11 - Geçersiz İstek Hatası Bu hata farklı sebeplerden olabilir fakat aşağıdaki adamları mutlaka kontrol edin. Iyzico sitesinde yer alan ödeme formu başlatma rehberini okuyup orada yer alan property tipleriyle göndermeye çalıştığınız tipleri karşılaştırın Ssl hatası alıyor olabilirsiniz. Sitenizin de güncel sertifikaya sahip olduğuna emin olun. Sandbox ile Canlı api endpoint adresleri farklıdır. Doğru adrese request attığınız
Devamı

Visual Studio'da Toplam Kod Satır Sayısını Bulma

Resim
Projeleri devlet kurumlarına teslim ederken veya farklı amaçlar için projenin toplam satır sayısını bulmak gerekebiliyor. Visual Studio içerisinde bu çok kolay bir şekilde bulunabiliyor. Bulunan sayıları proje , class , metod seviyesine kadar kırılımlı bir şekilde görüntüleyebiliyoruz. Öncelikle açık bir proje üzerinde Analyze > Calculate Code Metrics > For Solution menüsünü takip ederseniz aşağıdaki gibi sonuçlara ulaşabilirsiniz. Analyze > Calculate Code Metrics > For Solution Visual Studio'da Toplam Kod Satır Sayısını Bulma
Devamı