CSRF Saldırıları ve Korunma Yöntemleri Nedir?

kullanici1

Nisan 14, 2026

Siber Güvenlik

Web uygulamalarının güvenliği, kullanıcı oturumlarının nasıl yönetildiği ve tarayıcıların bu oturumlara nasıl eşlik ettiğiyle doğrudan ilişkilidir. Siber güvenlik literatüründe “Oturum Binme” (Session Riding) olarak da bilinen CSRF (Cross-Site Request Forgery – Siteler Arası İstek Sahteciliği), bir saldırganın kurbanın tarayıcısındaki aktif oturumunu kullanarak, kullanıcının haberi olmadan yetkili işlemler gerçekleştirmesini sağlayan bir zafiyettir. XSS kullanıcının verilerini çalmayı hedeflerken, CSRF kullanıcının yetkilerini kullanarak işlem yapmayı (para transferi, şifre değiştirme, e-posta güncelleme vb.) hedefler. 2026 yılı itibarıyla, modern web standartları (SameSite çerezleri gibi) bu riski azaltsa da, hatalı yapılandırmalar ve eski sistemler CSRF’i hala kritik bir tehdit seviyesinde tutmaktadır.

CSRF Nedir?

CSRF, tarayıcıların “otomatik kimlik doğrulama” (çerezler aracılığıyla) mekanizmasını suistimal eden bir “güven suistimali” saldırısıdır. Bir web sitesi, gelen bir isteğin kullanıcının tarayıcısından gelip gelmediğini kontrol edebilir; ancak bu isteğin kullanıcı tarafından “bilinçli” olarak mı yoksa “arka planda gizlice” mi tetiklendiğini ayırt edemeyebilir. Saldırgan, kurbanın halihazırda giriş yapmış olduğu bir hedef siteye yönelik sahte bir HTTP isteği hazırlar ve kurbanın bu isteği tetiklemesini sağlar. Sunucu, istekle birlikte gelen geçerli oturum çerezini gördüğünde, işlemi meşru kabul ederek gerçekleştirir.

pexels-markusspiske-177598
pexels-dkomov-34803991
pexels-dkomov-34803994
pexels-dkomov-34804006

Çalışma Mantığı ve Teknik Arka Plan

CSRF saldırısının gerçekleşmesi için üç temel koşulun birleşmesi gerekir:

  1. Hassas Bir İşlem: Şifre değiştirme, veri silme veya finansal transfer gibi önemli bir eylem.

  2. Çerez Tabanlı Oturum Yönetimi: Uygulamanın kullanıcıyı tanımak için sadece tarayıcıda saklanan çerezlere güvenmesi.

  3. Öngörülebilir Parametreler: Saldırganın, isteği oluştururken hangi parametrelerin gönderileceğini önceden bilmesi.

Teknik Süreç: Kurban, banka.com sitesinde oturum açmıştır. Saldırgan, kendi kontrolündeki bir web sitesine gizli bir form veya resim etiketi yerleştirir: Kurban bu siteyi ziyaret ettiğinde, tarayıcı resmi yüklemeye çalışırken banka sunucusuna otomatik olarak oturum çerezlerini de ekleyerek isteği gönderir. Banka sunucusu isteği alır, çerezi doğrular ve transferi onaylar.

Riskler ve Kurumsal Etkiler

CSRF zafiyetinin kurumlar üzerindeki etkileri operasyonel ve hukuki krizlere yol açabilir:

  • Yetkisiz İşlemler: Kullanıcı hesaplarının ele geçirilmesi veya yönetici hesapları üzerinden sisteme sızılması.

  • Veri İhlali ve KVKK: Kişisel verilerin silinmesi veya rıza dışı güncellenmesi nedeniyle teknik tedbir yükümlülüğünün ihlali.

  • Maddi Kayıplar: Finansal kuruluşlarda haksız para transferleri ve tazminat davaları.

  • İtibar Kaybı: Kullanıcıların platforma olan güveninin sarsılması.

Tespit ve Doğrulama Yöntemleri

  • Anti-CSRF Token Kontrolü: Her istekte benzersiz ve tahmin edilemez bir anahtarın kullanılıp kullanılmadığı analizi.

  • Referer ve Origin Başlık Analizi: Sunucunun, isteğin kaynağını kontrol edip etmediğinin saptanması.

  • Manuel Sınama: Uzmanın hazırladığı bir HTML ile başka bir sekmedeki oturum üzerinde işlem denemesi yapması.

  • Otomatik Araçlar: Burp Suite gibi araçlarla korumasız formların tespiti.

Önleme ve Güvenlik Önlemleri

CSRF saldırılarını engellemek için şu teknik önlemler alınmalıdır:

  • Anti-CSRF (Synchronizer) Token: Sunucunun her istek için benzersiz bir token üretmesi ve bunu doğrulaması.

  • SameSite Cookie Özelliği: Çerezlere SameSite=Lax veya Strict bayrağı eklenerek dış kaynaklı isteklere kapatılması.

  • Custom Request Headers: AJAX isteklerinde özel HTTP başlıkları (örneğin X-Requested-With) kullanılması.

  • Çift Doğrulama (Re-authentication): Kritik işlemlerden önce şifre tekrarı veya MFA istenmesi.

Kurumsal Perspektif ve Gerçek Hayat Kullanımı

Kurumlar için CSRF koruması, SDLC (Yazılım Geliştirme Yaşam Döngüsü) standart bir parçası olmalıdır. Modern frameworkler bu korumayı varsayılan olarak sunsa da, yazılımcıların bu korumayı devre dışı bırakması risk yaratır. KVKK uyumu açısından, kullanıcı rızası dışında veri değişikliğine izin veren bir sistem doğrudan uyum hatasıdır.

CSRF, web güvenliğinde “kimlik doğrulama” ile “işlem rızası” arasındaki ince çizgiyi hedef alan sofistike bir saldırıdır. 2026 dünyasında siber dayanıklılık, her bir HTTP isteğinin sadece “kimden” geldiğini değil, “niçin” ve “nasıl” tetiklendiğini de sorgulayan mimariler inşa etmekten geçer. Güvenlik, kullanıcı adına karar vermeyen, her kararı kullanıcıyla doğrulayan bir sistem tasarımıdır.

Tags :
CSRF,OturumGüvenliği,SameSite,WebGüvenliği
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.