Siteler arası sahtecilik sahteciliği, oturum açma ve tek tıklamayla saldırı da dahil olmak üzere çeşitli adlarla da bilinen bir siteler arası sahtecilik (XSRF veya CSRF), önlenmesi zor bir web sitesi istismarı türüdür. Bir web tarayıcısını uzak bir sunucuya yetkisiz komutlar göndermek üzere kandırarak çalışır. Siteler arası sahtecilik saldırıları yalnızca otantik kimlik bilgilerine sahip web sitelerine giriş yapan kullanıcılara karşı çalışır; Sonuç olarak, web sitelerinden çıkmak, basit ve etkili bir önleyici tedbir olabilir. Web geliştiricileri bu tür saldırıları önlemeye yardımcı olmak için rastgele oluşturulmuş belirteçleri kullanabilir, ancak yönlendireni kontrol etmekten veya çerezlere güvenmekten kaçınmalıdır.
Siteler arası sahtecilikten kaynaklanan istismarlar için “şaşkın yardımcısı saldırı” olarak bilinen web tarayıcılarını hedeflemek yaygındır. Kullanıcının adına hareket ettiğine inanan tarayıcı, uzak bir sunucuya yetkisiz komutlar göndermek için kandırılır. Bu komutlar, bir web sayfasının biçimlendirme kodunun görünüşte masum bölümleri içinde gizlenebilir; bu, bir görüntü dosyasını indirmeye çalışan bir tarayıcının aslında bir bankaya, çevrimiçi perakendeciye veya sosyal ağ sitesine komutlar gönderebileceği anlamına gelir. Bazı tarayıcılar artık siteler arası sahtecilik saldırılarını önlemek için tasarlanmış önlemler içeriyor ve üçüncü taraf programcılar bu önlemleri içermeyen uzantılar veya eklentiler oluşturdular. Ayrıca, HyperText Markup Language (HTML) e-postasını tercih ettiğiniz istemcide kapatmanız iyi bir fikir olabilir, çünkü bu programlar ayrıca siteler arası sahtecilik saldırılarına karşı da savunmasızdır.
Siteler arası sahtecilik saldırılarından bu yana, yasal olarak web sitesine giriş yapan kullanıcılara güveniyor. Bu akılda tutulması, böyle bir saldırıyı önlemenin en kolay yollarından biri, kullanımınız bittiği yerlerden çıkmanızdır. Bankalar ve aracı kurumlar dahil olmak üzere hassas verilerle ilgilenen birçok site, belirli bir süre kullanılmadığında otomatik olarak bunu yapar. Diğer siteler tam tersi bir yaklaşıma sahiptir ve kullanıcıların günler veya haftalar boyunca sürekli oturum açmalarına izin verir. Bunu uygun bulsanız da, sizi CSRF saldırılarına maruz bırakır. “Beni bu bilgisayarda hatırla” ya da “oturumumu açık tut” seçeneğini arayın ve devre dışı bırakın ve oturumu tamamladığınızda çıkış bağlantısını tıkladığınızdan emin olun.
Web geliştiricileri için siteler arası sahtekarlık güvenlik açıklarını ortadan kaldırmak özellikle zor bir görev olabilir. Yönlendiren ve çerez bilgilerinin kontrol edilmesi fazla koruma sağlamaz, çünkü CSRF istismarları yasal kullanıcı kimlik bilgilerinden yararlanır ve bu bilgilerin taklit edilmesi kolaydır. Daha iyi bir yaklaşım, bir kullanıcı her oturum açtığında rastgele tek kullanımlık bir belirteç oluşturmak ve belirtecin kullanıcı tarafından gönderilen herhangi bir istekle birlikte eklenmesini gerektirir. Satın alma veya fon transferi gibi önemli talepler için, kullanıcının kullanıcı adı ve şifreyi tekrar girmesini istemek, isteğin doğruluğunu sağlamaya yardımcı olabilir.
