SiteGüvenlik

CSRF Saldırılarına Hazır mısınız?

Form işlemlerinde CSRF token eksikliği, SameSite cookie yapılandırması ve çapraz site istek sahteciliğine karşı korumanız test edilir.

CSRF Token Kontrolü
SameSite Cookie Analizi
GET ile Durum Değişikliği
Referer Başlığı Kontrolü
%52
CSRF token eksikliği
Tüm formlar
Test kapsamı
GET & POST
İstek analizi
Kritik
Etki seviyesi

Ne Tarıyoruz?

CSRF korumasında kontrol ettiğimiz tüm mekanizmalar

CSRF Token Varlığı
Form action'larında hidden CSRF token alanının var olup olmadığı.
Token Doğrulama
Sunucunun gelen CSRF token'ı gerçekten doğrulayıp doğrulamadığı testi.
SameSite Cookie
Cookie SameSite politikasının CSRF korumasına katkısı analizi.
Referer Başlığı Kontrolü
Sunucunun Referer/Origin başlığını CSRF koruması için kontrol etmesi.
GET ile Durum Değişikliği
Para transferi veya şifre değiştirme gibi işlemlerin GET ile yapılabilirliği.
Double Submit Cookie
Token'ın hem cookie hem form alanında double submit pattern uygulaması.
AJAX CSRF Koruması
XMLHttpRequest ve Fetch API isteklerinde CSRF header doğrulaması.
Logout CSRF
Kullanıcıyı zorla oturumdan çıkaran cross-site logout saldırısı riski.

Örnek Bulgular

Gerçek tarama sonuçlarından örnek CSRF güvenlik bulguları

Seviye
Endpoint
Durum / Tespit
Açıklama
CRITICAL
POST /transfer
CSRF token yok
Para transferi formu CSRF'e açık — kurbanın hesabından transfer yapılabilir.
CRITICAL
POST /sifre-degistir
Token doğrulanmıyor
Token var ama sunucu kontrol etmiyor — bypass mümkün.
HIGH
GET /kullanici-sil?id=5
Durum değişikliği GET ile
Silme işlemi link tıklamayla tetiklenebilir.
HIGH
POST /profil
Referer kontrolü yok
Origin başlığı kontrol edilmiyor — çapraz site istek geçiyor.
Pro Plan ile Görüntüle
MEDIUM
/logout
CSRF token yok
Zorla logout saldırısı mümkün — oturum sonlandırılabilir.
Pro Plan ile Görüntüle
PASS
POST /siparis
SameSite=Strict + token
Çift koruma mevcut — CSRF riski yok.
Pro Plan ile Görüntüle

Nasıl Çalışır?

Üç adımda CSRF koruma analizi

01
URL Gir
Web sitenizin adresini girin. Sistem sayfanızı ziyaret ederek tüm formları ve action endpoint'lerini tespit eder.
02
Formlar Test Edilir
Her form ve kritik endpoint CSRF token varlığı, doğrulama mekanizması ve SameSite yapılandırması açısından analiz edilir.
03
Rapor Al
CSRF koruması eksik olan tüm endpoint'ler risk seviyeleriyle listelenir. Hangi işlemlerin tehlikede olduğu gösterilir.

Risk Seviyeleri

Her CSRF bulgusunun kritiklik değerlendirmesi

Kritik CRITICAL
Finansal işlem veya şifre değiştirme endpoint'inde CSRF koruması yok — kurban adına kritik işlem yapılabilir. Acil müdahale gerektirir.
Yüksek HIGH
Profil veya veri güncelleme endpoint'inde CSRF token doğrulanmıyor veya GET ile durum değiştiriliyor. 24 saat içinde giderilmeli.
Orta MEDIUM
Logout veya düşük etkili endpoint CSRF korumasız — zorla oturum kapatma veya veri sızıntısı mümkün. Yakın vadede düzeltilmeli.
Güvenli PASS
CSRF token mevcut, sunucu doğruluyor ve SameSite politikası aktif. Çift koruma katmanı sağlanmış.

Sıkça Sorulan Sorular

CSRF koruması hakkında merak edilenler.

Saldırgan, kurbanın tarayıcısından hedef siteye istek gönderen zararlı bir sayfa hazırlar. Kurban siteye giriş yapıkken bu sayfayı ziyaret ederse, cookie otomatik gönderildiği için işlem kurban adına gerçekleşir.

Her form için sunucu tarafından oluşturulan benzersiz, tahmin edilemez token — saldırganın zararlı sayfasında bu değer bulunmadığı için istek reddedilir.

Çoğu durumda evet, ancak bazı edge case'lerde bypass mümkün olabilir. CSRF token + SameSite birlikte kullanımı önerilir.

Yalnızca cookie tabanlı kimlik doğrulama kullanan API'ler etkilenir. Bearer token (Authorization header) kullanan API'ler CSRF'e karşı doğası gereği korumalıdır.

Durum değişikliği yapan tüm POST, PUT, PATCH, DELETE istekleri. Özellikle şifre değiştirme, ödeme, profil güncelleme ve admin işlemleri.

CSRF Korumanızı Şimdi Test Edin

Form ve endpoint güvenliğinizdeki CSRF açıklarını anında tespit edin.

Fiyatlandırma·İletişim