TOKEN Neden Önemli?

Поделиться
HTML-код
  • Опубликовано: 25 дек 2024
  • Bu ders Tayfun Erbilen tarafından prototurk.com için hazırlanmıştır.
    Kanala destek olmak için KATIL üzerinden size uygun seçeneği belirleyerek desteğinizi gösterebilirsiniz.
    / @prototurkcom
    Yeni çıkardığım PHP Eğitim Setime gözatın!
    udemy.com/php-...
    -- Sosyal Hesaplarım;
    / erbilennet
    / prototurkcom
    / tayfunerbilen
    / prototurkcom
    / tayfunerbilen

Комментарии • 82

  • @PROTOTURKCOM
    @PROTOTURKCOM  3 года назад +28

    Görüntü kalitesi biraz kötü çıkmış arkadaşlar kusura bakmayın ya :) yakışmadı bize :D
    NOT: Eğer sitenizi cloudflare arkasına alırsanız otomatik olarak CSRF koruması olacaktır bu arada ihmal etmeyin.
    EK OLARAK: SameSite cookie tanımı ilede bunu yapmak mümkün ancak bir süre daha geleneksek yöntemle yürümek daha sağlıklı olur sanırım.

  • @gokhanekc
    @gokhanekc Год назад +1

    Teşekkürler hocam. Token'a ilk girişi yine senin sayende yapmış bulunduk. Senin izinden gidebilmek ve insanlara tıpkı senin gibi öğretme mücadelesine girebilmek dileğiyle...

  • @soulfly9306
    @soulfly9306 3 года назад +1

    CSRF Token ne biliyordum ancak kendim nasıl yazacaktım bilmiyordum laravel altyapısında çalışıyordu merak ediyordum çok iyi oldu bu çok teşekkürler.

  • @chunfai6925
    @chunfai6925 3 года назад +4

    Abi muhteşemsin muhteşem. Nolur bu bu tarz şeylerin devamı gelsin. Daha güvenli kod yazmak adına, açıkları kapatmak, önlemler almak adına, swl injection gibi. Lütfen abi. Başka böyle anlatanan denk gelmedim. Tam aradığım içerikler

  • @TheVerdant1
    @TheVerdant1 Год назад

    çok iyi açıklamışsınız teşekkürler

  • @sadiqmsc
    @sadiqmsc 2 года назад

    Bu videonu ilk izlediğimde anlayamamıştım. Kim yapcak ki benim sitemde falan diye düşünmüçtüm. Ama şimdi daha anlamlı geldi.

  • @XARONN
    @XARONN Год назад +2

    "benim gibi rahatsızsan linkleri gizli sekmede açarsın" ÇÖASDÖÇASDÖÇ, kendimi gördüm

  • @ArdaBalkanDev
    @ArdaBalkanDev Год назад +1

    Çok bilgilendiriciydi, teşekkürler usta.

  • @FootballHistoryy
    @FootballHistoryy 3 года назад

    Çok güzeldi.. Teşekkürler Tayfun

  • @6nok
    @6nok 3 года назад +27

    Peki peşine XSS ve Session Hijacking gelir mi?

    • @PROTOTURKCOM
      @PROTOTURKCOM  3 года назад +10

      deneriz :)

    • @wlss_
      @wlss_ 3 года назад +1

      htmlspecialchars(strip_tags($content)) :D

    • @6nok
      @6nok 3 года назад +1

      @@wlss_ kullanım şekilleri de çok önemli. kesin çözüm değil.

  • @harunbaydogan2011
    @harunbaydogan2011 3 года назад +2

    ellerine sağlık, güvenlik ile ilgili uzun bir videoda bizleri buluşturursan seviniriz😀

  • @korayaman
    @korayaman 2 года назад

    cok faydali oldu cok tesekkurler senin sistem ise yaramadi bende neden bilmiyorum ama mantigindan yola cikarak farkli bir yol haritasi cizdim cook tesekkurederim aciklari kapama adina guzel videolar bekliyoruz senden :) yolun acik olsun

  • @ksmndjsjnxh8693
    @ksmndjsjnxh8693 3 года назад +4

    cookie çalma , xss vb. konuları senin ağzından dinlemeyi çok isterim tayfun hocam. kısa süre içinde yüklersen bizi çok mutlu etmiş olursun

  • @frexxlebronmusic
    @frexxlebronmusic 3 года назад

    HOCAM ÇOK GÜZEL BİR PAYLAŞIM ELİNİZE EMEĞİNİZE SAĞLIK.

  • @FerdiSahin
    @FerdiSahin 3 года назад

    Harika video olmuş Tayfun. 👍🏻

  • @RidvanGulce
    @RidvanGulce 3 года назад

    Mükemmel bir anlatım,emeğinize sağlık :)

  • @themadone3253
    @themadone3253 2 года назад

    adamın dibi prototurk

  • @onurkursun
    @onurkursun 3 года назад

    Teşekkürler Tayfun hocam. Güvenlikle ilgili videolarınızın devamını merakla beklemedeyiz.

  • @Fullofenglish2015
    @Fullofenglish2015 3 года назад

    Çok güzel ve faydalı anlatım.

  • @ugurozgendev
    @ugurozgendev 3 года назад

    Güzel anlatım, teşekkürler :)

  • @xyzvzvzxcvzxyvcz
    @xyzvzvzxcvzxyvcz 3 года назад

    muhteşem bir anlatım gerçekten

  • @kaantemel2078
    @kaantemel2078 3 года назад

    Bu çok yararlı olmuş tayfun

  • @projectfilm6800
    @projectfilm6800 8 месяцев назад

    Hocam Android uygulama tarafında nasıl bir yol izlemeliyiz örneğin mysql tarafında crud işlemleri yapmak için php web api oluşturmak istiyorum. baştan sona böyle bir video serisi yapma şansınız var mı ya da öneriniz?

  • @celalettinelbir1747
    @celalettinelbir1747 3 года назад

    Efsane bir video olmuş eline sağlık

  •  3 года назад

    Anlatım çok iyi olmuş.

  • @muratcelebi2737
    @muratcelebi2737 3 года назад

    Reis emeğine sağlık çok faydalı oldu mobil app için bir api hazırlıyordum çok işime yaradı sağolasın

  • @omerfdmrl
    @omerfdmrl 3 года назад

    Ellerinize sağlık hocam

  • @exdevlab7671
    @exdevlab7671 3 года назад

    Çok güzel bir anlatımdı teşekkürler hocam

  • @agit5700
    @agit5700 Год назад

    hocam bu tür videoların devamını bekliyoruz emeğine sağlık

  • @FarukSavur
    @FarukSavur 3 года назад

    Hocaamm bize böyle gel çok güzel konulara değiniyorsun bu aralar 🙃

  • @emirxmertoglu
    @emirxmertoglu 3 года назад

    end jenerik cok iyi abi tron filminden firlamis gibi 👌👌

  • @EmreCeyhanrk
    @EmreCeyhanrk 3 года назад

    Kesinlike çok yararlı

  • @tamasaci7018
    @tamasaci7018 3 года назад

    Adamsin abim cok sey ogrendik senden

  • @son4dakika
    @son4dakika 2 года назад

    Adana önemli hocam ^^

  • @omerfarukbicer2208
    @omerfarukbicer2208 3 года назад

    Nedense tayfun hocam token ile konuşurken senin bu videon karşıma çıktı birde kusura bakma ama ben senin site de hocam postman ile üye girişi falan kayıt ol takip etme olayını denedim onda token yok diye böyle kolay oldu galiba bu arada hocam ellerine sağlık video için çok güzel bir fikir verdi birde bir sorum olucaktı laraveldeki csrf_token demi bu mantık ile aynı bi bilginiz varmı

    • @PROTOTURKCOM
      @PROTOTURKCOM  3 года назад +2

      terzi kendi söküğünü dikemezmiş :D üşendim onu yapmaya da yapmak lazım, siz siz olun bilmediğiniz linklere tıklamayın sonra mazallah :D evet laravel ve diğer frameworklerdeki olayda bunun için adı üstünde csrf_token zaten :)

  • @ArduinoTurkBatu
    @ArduinoTurkBatu 3 года назад +5

    "Kendinize çok iyi bakın, _TOKENsız_ kalmayın."

  • @projectfilm6800
    @projectfilm6800 3 года назад

    Editör ve tema olarak ne kullanıyorsunuz hocam

    • @PROTOTURKCOM
      @PROTOTURKCOM  3 года назад +1

      phpStorm material temaydı sanırım

  • @mustafatevfikhebebci9475
    @mustafatevfikhebebci9475 2 года назад

    İçerik için teşekkürler. Kafama takılan konu biz token anahtarını hidden olsa da ekliyoruz. Kaynağı inceleyen doğrudan erisebiliyor. Kötü adam hazırladığı tuzak formu ikinci sekmede açarak bu token anahtarını da alip gönderirse istediğini yine yapmış olmuyor mu?

    • @PROTOTURKCOM
      @PROTOTURKCOM  2 года назад +1

      Her get isteğinde token güncelleniyor bilmesi mümkün değil o yüzden

  • @kazimkesler
    @kazimkesler Год назад

    SameSite default enable olduğu için pek bi önemi de kalmadı zaten

  • @syueo271
    @syueo271 3 года назад

    Man in the middle denilen phishing sitelerindeki cookie sistemi nasil calisiyor peki bilginiz varmi

  • @phpjust
    @phpjust 9 месяцев назад

    Peki, direkt bir post geldiğinde kullanıcının SESSION'dan gelen id'sine göre işlem yaptırırsak zaten sorunu ortadan kaldırmış olmaz mıyız?

    • @PHPYazan
      @PHPYazan 6 месяцев назад

      Farketmiyor kardeş,burada senin sessionda kullanıcı id si olması tam tersi kişinin senin adına işlem yapmasına olanak tanıyor! token kullanmayan bütün sistemler videoda anlatıldığı gibi güvenlik açığıdır.

  • @UmutPSO
    @UmutPSO 3 года назад

    Abi adam bu kadar uğraşıyor niye dislike niye lan

  • @weezytaha8412
    @weezytaha8412 3 года назад

    arkadaşlar prototurkun javascript dersleri varmı ben bulamadım kanalda link atabilcek varmı eğer varsa

  • @teknolojiuzmaniburada
    @teknolojiuzmaniburada 3 года назад

    Bu sızma olayı sadece bizim kullandığımız pcde mi mümkündür? Yoksa uzaktan başka birisi erişip işlem yapabilir mi bizim hali hazırda giriş yaptığımız kullanıcı üzerinden?

    • @PROTOTURKCOM
      @PROTOTURKCOM  3 года назад +1

      hayır erişemez, client-side taraflı bu tarz işlemlerde mümkün olabilir sadece

    • @teknolojiuzmaniburada
      @teknolojiuzmaniburada 3 года назад

      @@PROTOTURKCOM teşekkür ederim 🙏

  • @sedatdogan6057
    @sedatdogan6057 Год назад

    helal

  • @elgunlee
    @elgunlee 3 года назад

    Peki kullanıcı 2 veya daha fazla tarayıcı sekmesinden girdiğinde önceki formların tokenleri artık geçersiz olduğundan onlar hata vermeyecek mi? Sadece en son açılan sekme çalışacak. Bir de videoda gösterdiğiniz hack sayfası hacklenen sayfa ile aynı alan adı altında, normalde öyle olmayacağından tarayıcı cookieleri post etmiyor benim bildiğim.

    • @PROTOTURKCOM
      @PROTOTURKCOM  3 года назад

      cloudflare gibi bir sitenin ardına gizleniyorsan ya da güncel bir tarayıcı kullanıyorsan evet şu günlerde biraz daha zor ancak bu açık hala mevcut o yüzden client-side tarafında işlem yaptığı için hala yapma şansı var. Ve evet tab değiştiğinde token'ı güncellemek lazım o yüzden şifreli bir token generate edebilirsin kullanıcıya özel örneğin session id'sini belli bir anahtar değer ile şifrelersen ve token olarak bunu kontrol edersen bu sefer diğer sekmeler sorun olmayacaktır ama saldırganın işinide engellemiş oluruz.

  • @efeeeeee212
    @efeeeeee212 3 года назад

    Firebase ile alakalı da bir video çekermisin? güvenlik kuralları nasıl işliyor en sağlam güvenlik kuralı bile kırılabilir mi?

    • @PROTOTURKCOM
      @PROTOTURKCOM  3 года назад +7

      valla firabase'i ben de kullanmadım, birlikte öğreniyoruz serisi yapmayı planlıyorum orada inceleriz

    • @Hurby24
      @Hurby24 3 года назад

      @@PROTOTURKCOM fire base ve react native kullanip ugulama yaparmiyiz be?

  • @YAZILIMCIAdam
    @YAZILIMCIAdam 3 года назад

    Ekstra olarak Honeypot da kullanılabilir.

    • @PROTOTURKCOM
      @PROTOTURKCOM  3 года назад

      honeypot daha çok spam yapanlar için bir yöntem, csrf önleme gibi bir durumu söz konusu olmaz :)

  • @serhanyigit6521
    @serhanyigit6521 3 года назад

    umarım güvenlik videolarına devam edersin abi. diğer eğitici videolarında dikkat etmiyordun.

  • @semihgok9982
    @semihgok9982 3 года назад

    Burada ki zaafiyet CORS ile de önlenebilir.

  • @mehmeterdogan884
    @mehmeterdogan884 3 года назад

    Peki kullanıcı birden çok sekme ile çalışıyorsa, kullanıcı ilk açtığı sekmeye dönüp işlem yaptığında doğal olarak o token çöpe çıkmış olacak. bu durumda öneriniz nedir?

    • @PROTOTURKCOM
      @PROTOTURKCOM  3 года назад

      bu durumda kullanıcı bazlı bir token oluşturmak daha mantıklı olur, mesela session id'yi alıp token olarak kullanabilirsiniz tabi kullanırken şifrelemeyi unutmayın (örnek şifreleme için prototurk.com/cevap/7), böylece sekme değişsede session id değişmeyeceği için bir problem teşkil etmez ancak hala bu saldırıdan korunmuş olur

    • @mehmeterdogan884
      @mehmeterdogan884 2 месяца назад

      @@PROTOTURKCOMsaldırgan post isteğinden önce get atıp bu çerezi okursa 😀😀

    • @mehmeterdogan884
      @mehmeterdogan884 2 месяца назад

      Modern tarayıcılar zaten buna izin vermiyor ama, tarayıcı korumuyorsa korunmuyor diyebilirmiyiz

  • @efeeeeee212
    @efeeeeee212 3 года назад

    Video çok güzel olmuş eline sağlık,bilgisayarının linkini bizimle paylaşabilir misin ve bu arada klavyeni çok hızlı kullanıyorsun yavaş ol bizde birşeyler görelim :D

  • @softwareshow2810
    @softwareshow2810 3 года назад

    çok iyidi :D

  • @ugurkilci
    @ugurkilci 3 года назад

    Stanger Things izlenmiş

  • @thedeathhnters7294
    @thedeathhnters7294 Год назад

    Apilerle çalışıyorsak bunun önlemini biz mi almalıyız yoksa backend tarafındamı alınmalı

  • @muhammedkaya3238
    @muhammedkaya3238 3 года назад

    Stranger things müziğini de arka plana koymayanda ne bilm

  • @giovannigiorgio5340
    @giovannigiorgio5340 3 года назад

    fear twd daniel?

  • @fratdevrimcavit3645
    @fratdevrimcavit3645 3 года назад +1

    Virus benim :D

  • @godemperorz
    @godemperorz 3 года назад

    Tokensiz kalmayın.

  • @gulalicelik2989
    @gulalicelik2989 3 года назад

    yorum

  • @GameModsAzerbaijan
    @GameModsAzerbaijan 3 года назад

  • @mertcertel1999
    @mertcertel1999 3 года назад +2

    Teşekkürler paylaşım için. Backend tarafında CORS policy'leri ayarlamak da etkili çözüm olacaktır.
    developer.mozilla.org/tr/docs/Web/HTTP/CORS

  • @_erdalbuyuk
    @_erdalbuyuk 3 года назад +1

    saçmalıktan başka bişey değil
    post.asp--------------------------------------------------------------------------------------------
    If Request.ServerVariables("HTTP_REFERER") = "myDomain" Then
    record()
    Else
    shoot()
    End If
    ----------------------------------------------------------------------------------------------------------
    bu kadar basit, kal sağlıcakla.....