Görüntü kalitesi biraz kötü çıkmış arkadaşlar kusura bakmayın ya :) yakışmadı bize :D NOT: Eğer sitenizi cloudflare arkasına alırsanız otomatik olarak CSRF koruması olacaktır bu arada ihmal etmeyin. EK OLARAK: SameSite cookie tanımı ilede bunu yapmak mümkün ancak bir süre daha geleneksek yöntemle yürümek daha sağlıklı olur sanırım.
Teşekkürler hocam. Token'a ilk girişi yine senin sayende yapmış bulunduk. Senin izinden gidebilmek ve insanlara tıpkı senin gibi öğretme mücadelesine girebilmek dileğiyle...
Abi muhteşemsin muhteşem. Nolur bu bu tarz şeylerin devamı gelsin. Daha güvenli kod yazmak adına, açıkları kapatmak, önlemler almak adına, swl injection gibi. Lütfen abi. Başka böyle anlatanan denk gelmedim. Tam aradığım içerikler
cok faydali oldu cok tesekkurler senin sistem ise yaramadi bende neden bilmiyorum ama mantigindan yola cikarak farkli bir yol haritasi cizdim cook tesekkurederim aciklari kapama adina guzel videolar bekliyoruz senden :) yolun acik olsun
Hocam Android uygulama tarafında nasıl bir yol izlemeliyiz örneğin mysql tarafında crud işlemleri yapmak için php web api oluşturmak istiyorum. baştan sona böyle bir video serisi yapma şansınız var mı ya da öneriniz?
Farketmiyor kardeş,burada senin sessionda kullanıcı id si olması tam tersi kişinin senin adına işlem yapmasına olanak tanıyor! token kullanmayan bütün sistemler videoda anlatıldığı gibi güvenlik açığıdır.
İçerik için teşekkürler. Kafama takılan konu biz token anahtarını hidden olsa da ekliyoruz. Kaynağı inceleyen doğrudan erisebiliyor. Kötü adam hazırladığı tuzak formu ikinci sekmede açarak bu token anahtarını da alip gönderirse istediğini yine yapmış olmuyor mu?
Nedense tayfun hocam token ile konuşurken senin bu videon karşıma çıktı birde kusura bakma ama ben senin site de hocam postman ile üye girişi falan kayıt ol takip etme olayını denedim onda token yok diye böyle kolay oldu galiba bu arada hocam ellerine sağlık video için çok güzel bir fikir verdi birde bir sorum olucaktı laraveldeki csrf_token demi bu mantık ile aynı bi bilginiz varmı
terzi kendi söküğünü dikemezmiş :D üşendim onu yapmaya da yapmak lazım, siz siz olun bilmediğiniz linklere tıklamayın sonra mazallah :D evet laravel ve diğer frameworklerdeki olayda bunun için adı üstünde csrf_token zaten :)
Bu sızma olayı sadece bizim kullandığımız pcde mi mümkündür? Yoksa uzaktan başka birisi erişip işlem yapabilir mi bizim hali hazırda giriş yaptığımız kullanıcı üzerinden?
Peki kullanıcı 2 veya daha fazla tarayıcı sekmesinden girdiğinde önceki formların tokenleri artık geçersiz olduğundan onlar hata vermeyecek mi? Sadece en son açılan sekme çalışacak. Bir de videoda gösterdiğiniz hack sayfası hacklenen sayfa ile aynı alan adı altında, normalde öyle olmayacağından tarayıcı cookieleri post etmiyor benim bildiğim.
cloudflare gibi bir sitenin ardına gizleniyorsan ya da güncel bir tarayıcı kullanıyorsan evet şu günlerde biraz daha zor ancak bu açık hala mevcut o yüzden client-side tarafında işlem yaptığı için hala yapma şansı var. Ve evet tab değiştiğinde token'ı güncellemek lazım o yüzden şifreli bir token generate edebilirsin kullanıcıya özel örneğin session id'sini belli bir anahtar değer ile şifrelersen ve token olarak bunu kontrol edersen bu sefer diğer sekmeler sorun olmayacaktır ama saldırganın işinide engellemiş oluruz.
Video çok güzel olmuş eline sağlık,bilgisayarının linkini bizimle paylaşabilir misin ve bu arada klavyeni çok hızlı kullanıyorsun yavaş ol bizde birşeyler görelim :D
Peki kullanıcı birden çok sekme ile çalışıyorsa, kullanıcı ilk açtığı sekmeye dönüp işlem yaptığında doğal olarak o token çöpe çıkmış olacak. bu durumda öneriniz nedir?
bu durumda kullanıcı bazlı bir token oluşturmak daha mantıklı olur, mesela session id'yi alıp token olarak kullanabilirsiniz tabi kullanırken şifrelemeyi unutmayın (örnek şifreleme için prototurk.com/cevap/7), böylece sekme değişsede session id değişmeyeceği için bir problem teşkil etmez ancak hala bu saldırıdan korunmuş olur
saçmalıktan başka bişey değil post.asp-------------------------------------------------------------------------------------------- If Request.ServerVariables("HTTP_REFERER") = "myDomain" Then record() Else shoot() End If ---------------------------------------------------------------------------------------------------------- bu kadar basit, kal sağlıcakla.....
Görüntü kalitesi biraz kötü çıkmış arkadaşlar kusura bakmayın ya :) yakışmadı bize :D
NOT: Eğer sitenizi cloudflare arkasına alırsanız otomatik olarak CSRF koruması olacaktır bu arada ihmal etmeyin.
EK OLARAK: SameSite cookie tanımı ilede bunu yapmak mümkün ancak bir süre daha geleneksek yöntemle yürümek daha sağlıklı olur sanırım.
Teşekkürler hocam. Token'a ilk girişi yine senin sayende yapmış bulunduk. Senin izinden gidebilmek ve insanlara tıpkı senin gibi öğretme mücadelesine girebilmek dileğiyle...
CSRF Token ne biliyordum ancak kendim nasıl yazacaktım bilmiyordum laravel altyapısında çalışıyordu merak ediyordum çok iyi oldu bu çok teşekkürler.
"benim gibi rahatsızsan linkleri gizli sekmede açarsın" ÇÖASDÖÇASDÖÇ, kendimi gördüm
Bu videonu ilk izlediğimde anlayamamıştım. Kim yapcak ki benim sitemde falan diye düşünmüçtüm. Ama şimdi daha anlamlı geldi.
Abi muhteşemsin muhteşem. Nolur bu bu tarz şeylerin devamı gelsin. Daha güvenli kod yazmak adına, açıkları kapatmak, önlemler almak adına, swl injection gibi. Lütfen abi. Başka böyle anlatanan denk gelmedim. Tam aradığım içerikler
çok iyi açıklamışsınız teşekkürler
Çok bilgilendiriciydi, teşekkürler usta.
cok faydali oldu cok tesekkurler senin sistem ise yaramadi bende neden bilmiyorum ama mantigindan yola cikarak farkli bir yol haritasi cizdim cook tesekkurederim aciklari kapama adina guzel videolar bekliyoruz senden :) yolun acik olsun
Çok güzeldi.. Teşekkürler Tayfun
Harika video olmuş Tayfun. 👍🏻
cookie çalma , xss vb. konuları senin ağzından dinlemeyi çok isterim tayfun hocam. kısa süre içinde yüklersen bizi çok mutlu etmiş olursun
ellerine sağlık, güvenlik ile ilgili uzun bir videoda bizleri buluşturursan seviniriz😀
Çok güzel ve faydalı anlatım.
HOCAM ÇOK GÜZEL BİR PAYLAŞIM ELİNİZE EMEĞİNİZE SAĞLIK.
adamın dibi prototurk
muhteşem bir anlatım gerçekten
Peki peşine XSS ve Session Hijacking gelir mi?
deneriz :)
htmlspecialchars(strip_tags($content)) :D
@@wlss_ kullanım şekilleri de çok önemli. kesin çözüm değil.
Bu çok yararlı olmuş tayfun
Hocam Android uygulama tarafında nasıl bir yol izlemeliyiz örneğin mysql tarafında crud işlemleri yapmak için php web api oluşturmak istiyorum. baştan sona böyle bir video serisi yapma şansınız var mı ya da öneriniz?
Güzel anlatım, teşekkürler :)
Teşekkürler Tayfun hocam. Güvenlikle ilgili videolarınızın devamını merakla beklemedeyiz.
Anlatım çok iyi olmuş.
hocam bu tür videoların devamını bekliyoruz emeğine sağlık
Mükemmel bir anlatım,emeğinize sağlık :)
end jenerik cok iyi abi tron filminden firlamis gibi 👌👌
Çok güzel bir anlatımdı teşekkürler hocam
Efsane bir video olmuş eline sağlık
Reis emeğine sağlık çok faydalı oldu mobil app için bir api hazırlıyordum çok işime yaradı sağolasın
Kesinlike çok yararlı
Hocaamm bize böyle gel çok güzel konulara değiniyorsun bu aralar 🙃
Ellerinize sağlık hocam
Adamsin abim cok sey ogrendik senden
Adana önemli hocam ^^
helal
Abi adam bu kadar uğraşıyor niye dislike niye lan
"Kendinize çok iyi bakın, _TOKENsız_ kalmayın."
Peki, direkt bir post geldiğinde kullanıcının SESSION'dan gelen id'sine göre işlem yaptırırsak zaten sorunu ortadan kaldırmış olmaz mıyız?
Farketmiyor kardeş,burada senin sessionda kullanıcı id si olması tam tersi kişinin senin adına işlem yapmasına olanak tanıyor! token kullanmayan bütün sistemler videoda anlatıldığı gibi güvenlik açığıdır.
İçerik için teşekkürler. Kafama takılan konu biz token anahtarını hidden olsa da ekliyoruz. Kaynağı inceleyen doğrudan erisebiliyor. Kötü adam hazırladığı tuzak formu ikinci sekmede açarak bu token anahtarını da alip gönderirse istediğini yine yapmış olmuyor mu?
Her get isteğinde token güncelleniyor bilmesi mümkün değil o yüzden
SameSite default enable olduğu için pek bi önemi de kalmadı zaten
Editör ve tema olarak ne kullanıyorsunuz hocam
phpStorm material temaydı sanırım
Burada ki zaafiyet CORS ile de önlenebilir.
umarım güvenlik videolarına devam edersin abi. diğer eğitici videolarında dikkat etmiyordun.
Nedense tayfun hocam token ile konuşurken senin bu videon karşıma çıktı birde kusura bakma ama ben senin site de hocam postman ile üye girişi falan kayıt ol takip etme olayını denedim onda token yok diye böyle kolay oldu galiba bu arada hocam ellerine sağlık video için çok güzel bir fikir verdi birde bir sorum olucaktı laraveldeki csrf_token demi bu mantık ile aynı bi bilginiz varmı
terzi kendi söküğünü dikemezmiş :D üşendim onu yapmaya da yapmak lazım, siz siz olun bilmediğiniz linklere tıklamayın sonra mazallah :D evet laravel ve diğer frameworklerdeki olayda bunun için adı üstünde csrf_token zaten :)
Firebase ile alakalı da bir video çekermisin? güvenlik kuralları nasıl işliyor en sağlam güvenlik kuralı bile kırılabilir mi?
valla firabase'i ben de kullanmadım, birlikte öğreniyoruz serisi yapmayı planlıyorum orada inceleriz
@@PROTOTURKCOM fire base ve react native kullanip ugulama yaparmiyiz be?
Man in the middle denilen phishing sitelerindeki cookie sistemi nasil calisiyor peki bilginiz varmi
Bu sızma olayı sadece bizim kullandığımız pcde mi mümkündür? Yoksa uzaktan başka birisi erişip işlem yapabilir mi bizim hali hazırda giriş yaptığımız kullanıcı üzerinden?
hayır erişemez, client-side taraflı bu tarz işlemlerde mümkün olabilir sadece
@@PROTOTURKCOM teşekkür ederim 🙏
Ekstra olarak Honeypot da kullanılabilir.
honeypot daha çok spam yapanlar için bir yöntem, csrf önleme gibi bir durumu söz konusu olmaz :)
Peki kullanıcı 2 veya daha fazla tarayıcı sekmesinden girdiğinde önceki formların tokenleri artık geçersiz olduğundan onlar hata vermeyecek mi? Sadece en son açılan sekme çalışacak. Bir de videoda gösterdiğiniz hack sayfası hacklenen sayfa ile aynı alan adı altında, normalde öyle olmayacağından tarayıcı cookieleri post etmiyor benim bildiğim.
cloudflare gibi bir sitenin ardına gizleniyorsan ya da güncel bir tarayıcı kullanıyorsan evet şu günlerde biraz daha zor ancak bu açık hala mevcut o yüzden client-side tarafında işlem yaptığı için hala yapma şansı var. Ve evet tab değiştiğinde token'ı güncellemek lazım o yüzden şifreli bir token generate edebilirsin kullanıcıya özel örneğin session id'sini belli bir anahtar değer ile şifrelersen ve token olarak bunu kontrol edersen bu sefer diğer sekmeler sorun olmayacaktır ama saldırganın işinide engellemiş oluruz.
arkadaşlar prototurkun javascript dersleri varmı ben bulamadım kanalda link atabilcek varmı eğer varsa
Tokensiz kalmayın.
Video çok güzel olmuş eline sağlık,bilgisayarının linkini bizimle paylaşabilir misin ve bu arada klavyeni çok hızlı kullanıyorsun yavaş ol bizde birşeyler görelim :D
çok iyidi :D
Peki kullanıcı birden çok sekme ile çalışıyorsa, kullanıcı ilk açtığı sekmeye dönüp işlem yaptığında doğal olarak o token çöpe çıkmış olacak. bu durumda öneriniz nedir?
bu durumda kullanıcı bazlı bir token oluşturmak daha mantıklı olur, mesela session id'yi alıp token olarak kullanabilirsiniz tabi kullanırken şifrelemeyi unutmayın (örnek şifreleme için prototurk.com/cevap/7), böylece sekme değişsede session id değişmeyeceği için bir problem teşkil etmez ancak hala bu saldırıdan korunmuş olur
@@PROTOTURKCOMsaldırgan post isteğinden önce get atıp bu çerezi okursa 😀😀
Modern tarayıcılar zaten buna izin vermiyor ama, tarayıcı korumuyorsa korunmuyor diyebilirmiyiz
Stanger Things izlenmiş
Stranger things müziğini de arka plana koymayanda ne bilm
haha
fear twd daniel?
Virus benim :D
Apilerle çalışıyorsak bunun önlemini biz mi almalıyız yoksa backend tarafındamı alınmalı
yorum
Teşekkürler paylaşım için. Backend tarafında CORS policy'leri ayarlamak da etkili çözüm olacaktır.
developer.mozilla.org/tr/docs/Web/HTTP/CORS
saçmalıktan başka bişey değil
post.asp--------------------------------------------------------------------------------------------
If Request.ServerVariables("HTTP_REFERER") = "myDomain" Then
record()
Else
shoot()
End If
----------------------------------------------------------------------------------------------------------
bu kadar basit, kal sağlıcakla.....