<div>Musa&#39;nin dedigi gibi, XSS varsa daha rahat. Bir cok cesidi olabilir tabi de POST CSRF&#39;e ornek temel bir html kodu su sekilde olabilir;</div>
<div> </div>
<div> </div>
<div><em>&lt;iframe name=&quot;hidden&quot; style=&quot;width:0px;height:0px&quot;&gt;&lt;/iframe&gt;</em></div>
<div><em></em> </div>
<div><em>&lt;form method=&quot;post&quot; name=&quot;myform&quot; target=&quot;hidden&quot; action=&quot;<a href="http://server/a.x">http://server/a.x</a>.&quot;&gt;</em></div>
<div><em>   &lt;input type=&quot;hidden&quot; name=&quot;input1&quot; value=&quot;abcde&quot;/&gt;</em></div>
<div><em>&lt;/form&gt;<br></em></div>
<div><em>&lt;script&gt;document.myform.submit()&lt;/script&gt;</em></div>
<div> </div>
<div> </div>
<div>Hatta buna bile gerek kalmadan bu isi GET istegi ile proxy olarak yapan servisler var, kaldi ki siz de yazabilirsiniz. Yukarda iframe&#39;in ismini form element&#39;inin icinde target olarak kullanmak isin gizli kalmasini sagliyor.</div>

<div> </div>
<div>Otomatik loginleri mi dusunerek POST CSRF yapilabilir mi diye sordun Yilmaz?<br></div>
<div class="gmail_quote">22 Ekim 2009 11:05 tarihinde Musa Ulker <span dir="ltr">&lt;<a href="mailto:musaulker@gmail.com">musaulker@gmail.com</a>&gt;</span> yazdı:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Merhabalar,<br><br>Tam emin olmamakla birlikte, POST CSRF i Ajax ile yapılabilir diye<br>düşünüyorum. Yani öncesinde XSS yedirirseniz post CSRF de yedirirsiniz<br>
:)<br><br>Başka çözümlerde olabilir<br><br>Kolay gelsin<br><br>2009/10/22 Yilmaz Cankaya &lt;<a href="mailto:yilmaz.cankaya@uekae.tubitak.gov.tr">yilmaz.cankaya@uekae.tubitak.gov.tr</a>&gt;:<br>
<div>
<div></div>
<div class="h5">&gt; Haklısın Bedirhan.<br>&gt; Ornegi de bu yüzden gönderdim. Kod çok masum gözükmesine ragmen,<br>&gt; &quot;Application Logic Flaw&quot; kategorisinde olduğu için herhangi bir araç<br>&gt; kullanılarak otomatize edilelerek tespit edilmesi güç.<br>
&gt;<br>&gt; Diger taraftan, manuel olarak  blackbox testi yapmak mümkün olabilir<br>&gt; bazı durumlarda.  Özellikle kullanıcıya login olmadan önce gönderilen<br>&gt; oturum anahtarları, login olduktan sonra da kullanılmaya devam ediyor ise.<br>
&gt;<br>&gt; Cevap bulunması gereken soru şu:<br>&gt; Kullanıcı adına GET istekleri göndermek mümkün olmakla beraber, POST<br>&gt; talebi içeren bir CSRF yapılabilir mi?<br>&gt;<br>&gt; Saygılar<br>&gt;<br>&gt;<br>&gt; Bedirhan Urgun wrote:<br>
&gt;&gt; ? : operatorunu kullanarak tek satirda yazarsan abarti olmaz, yani<br>&gt;&gt; &quot;yuh, tek satirda yazmis!&quot; demezler ama iste bu kadarcik kod guvenlik<br>&gt;&gt; zafiyetine yol aciyor.<br>&gt;&gt; Session Fixation &lt;<a href="http://www.owasp.org/index.php/Session_Fixation" target="_blank">http://www.owasp.org/index.php/Session_Fixation</a>&gt;<br>
&gt;&gt; diyorum. Tabi butun bu parcanin oturum yonetimi icin kullanildigini<br>&gt;&gt; dusunerek. :)<br>&gt;&gt;<br>&gt;&gt; Genelde kullanilan container&#39;lardan kaynaklaniyor bu zafiyet ama<br>&gt;&gt; gelistirerek de basarmak mumkun. :)) Yanliz ilginc olan sey, blackbox<br>
&gt;&gt; (karakutu) testi ile sanki bir pincik daha kolay bulunup, kontrol<br>&gt;&gt; edilebilir gibi degil mi? Ayni sey CSRF icin de gecerli.<br>&gt;&gt;<br>&gt;&gt; bedirhan<br>&gt;&gt; 21 Ekim 2009 01:11 tarihinde &lt;<a href="mailto:yilmaz.cankaya@uekae.tubitak.gov.tr">yilmaz.cankaya@uekae.tubitak.gov.tr</a><br>
&gt;&gt; &lt;mailto:<a href="mailto:yilmaz.cankaya@uekae.tubitak.gov.tr">yilmaz.cankaya@uekae.tubitak.gov.tr</a>&gt;&gt; yazdı:<br>&gt;&gt;<br>&gt;&gt;     Bedirhan başladı, güzel ve ögretici oldu.. Ben de faydalanmak<br>
&gt;&gt;     adına bir adet göndereyim..<br>&gt;&gt;<br>&gt;&gt;     Asıl kod javada idi. Genelleyip yazıyorum.<br>&gt;&gt;     Not: getParameter(&#39;session_id&#39;) ile  GET yada POST ile gönderilen<br>&gt;&gt;     session_id değeri okunuyor.<br>
&gt;&gt;<br>&gt;&gt;     if (getParameter(&#39;session_id&#39;) is null)<br>&gt;&gt;     then<br>&gt;&gt;         sessionID= createSession();<br>&gt;&gt;     else<br>&gt;&gt;         sessionID= getParameter(&#39;session_id&#39;);<br>
&gt;&gt;     end;<br>&gt;&gt;<br>&gt;&gt;     Saygılar<br>&gt;&gt;<br>&gt;&gt;     _______________________________________________<br>&gt;&gt;     Owasp-turkey mailing list<br>&gt;&gt;     <a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a> &lt;mailto:<a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a>&gt;<br>
&gt;&gt;     <a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; --<br>&gt;&gt; Bedirhan Urgun<br>
&gt;&gt; <a href="http://www.webguvenligi.org/" target="_blank">http://www.webguvenligi.org</a><br>&gt;&gt; <a href="http://www.owasp.org/index.php/Turkey" target="_blank">http://www.owasp.org/index.php/Turkey</a><br>&gt;&gt;<br>
&gt;&gt; Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:<br>&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
&gt;<br>&gt; _______________________________________________<br>&gt; Owasp-turkey mailing list<br>&gt; <a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
&gt;<br><br><br><br></div></div><font color="#888888">--<br>M.Musa Ülker<br></font>
<div>
<div></div>
<div class="h5">_______________________________________________<br>Owasp-turkey mailing list<br><a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
</div></div></blockquote></div><br><br clear="all">
<div></div><br>-- <br>Bedirhan Urgun<br><a href="http://www.webguvenligi.org">http://www.webguvenligi.org</a><br><a href="http://www.owasp.org/index.php/Turkey">http://www.owasp.org/index.php/Turkey</a><br><br>Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için: <br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>