Görüntü kalitesi biraz kötü çıkmış arkadaşlar kusura bakmayın ya :) yakışmadı bize :D NOT: Eğer sitenizi cloudflare arkasına alırsanız otomatik olarak CSRF koruması olacaktır bu arada ihmal etmeyin. EK OLARAK: SameSite cookie tanımı ilede bunu yapmak mümkün ancak bir süre daha geleneksek yöntemle yürümek daha sağlıklı olur sanırım.
Teşekkürler hocam. Token'a ilk girişi yine senin sayende yapmış bulunduk. Senin izinden gidebilmek ve insanlara tıpkı senin gibi öğretme mücadelesine girebilmek dileğiyle...
Abi muhteşemsin muhteşem. Nolur bu bu tarz şeylerin devamı gelsin. Daha güvenli kod yazmak adına, açıkları kapatmak, önlemler almak adına, swl injection gibi. Lütfen abi. Başka böyle anlatanan denk gelmedim. Tam aradığım içerikler
cok faydali oldu cok tesekkurler senin sistem ise yaramadi bende neden bilmiyorum ama mantigindan yola cikarak farkli bir yol haritasi cizdim cook tesekkurederim aciklari kapama adina guzel videolar bekliyoruz senden :) yolun acik olsun
Hocam Android uygulama tarafında nasıl bir yol izlemeliyiz örneğin mysql tarafında crud işlemleri yapmak için php web api oluşturmak istiyorum. baştan sona böyle bir video serisi yapma şansınız var mı ya da öneriniz?
Nedense tayfun hocam token ile konuşurken senin bu videon karşıma çıktı birde kusura bakma ama ben senin site de hocam postman ile üye girişi falan kayıt ol takip etme olayını denedim onda token yok diye böyle kolay oldu galiba bu arada hocam ellerine sağlık video için çok güzel bir fikir verdi birde bir sorum olucaktı laraveldeki csrf_token demi bu mantık ile aynı bi bilginiz varmı
terzi kendi söküğünü dikemezmiş :D üşendim onu yapmaya da yapmak lazım, siz siz olun bilmediğiniz linklere tıklamayın sonra mazallah :D evet laravel ve diğer frameworklerdeki olayda bunun için adı üstünde csrf_token zaten :)
İçerik için teşekkürler. Kafama takılan konu biz token anahtarını hidden olsa da ekliyoruz. Kaynağı inceleyen doğrudan erisebiliyor. Kötü adam hazırladığı tuzak formu ikinci sekmede açarak bu token anahtarını da alip gönderirse istediğini yine yapmış olmuyor mu?
Farketmiyor kardeş,burada senin sessionda kullanıcı id si olması tam tersi kişinin senin adına işlem yapmasına olanak tanıyor! token kullanmayan bütün sistemler videoda anlatıldığı gibi güvenlik açığıdır.
Bu sızma olayı sadece bizim kullandığımız pcde mi mümkündür? Yoksa uzaktan başka birisi erişip işlem yapabilir mi bizim hali hazırda giriş yaptığımız kullanıcı üzerinden?
Peki kullanıcı 2 veya daha fazla tarayıcı sekmesinden girdiğinde önceki formların tokenleri artık geçersiz olduğundan onlar hata vermeyecek mi? Sadece en son açılan sekme çalışacak. Bir de videoda gösterdiğiniz hack sayfası hacklenen sayfa ile aynı alan adı altında, normalde öyle olmayacağından tarayıcı cookieleri post etmiyor benim bildiğim.
cloudflare gibi bir sitenin ardına gizleniyorsan ya da güncel bir tarayıcı kullanıyorsan evet şu günlerde biraz daha zor ancak bu açık hala mevcut o yüzden client-side tarafında işlem yaptığı için hala yapma şansı var. Ve evet tab değiştiğinde token'ı güncellemek lazım o yüzden şifreli bir token generate edebilirsin kullanıcıya özel örneğin session id'sini belli bir anahtar değer ile şifrelersen ve token olarak bunu kontrol edersen bu sefer diğer sekmeler sorun olmayacaktır ama saldırganın işinide engellemiş oluruz.
Peki kullanıcı birden çok sekme ile çalışıyorsa, kullanıcı ilk açtığı sekmeye dönüp işlem yaptığında doğal olarak o token çöpe çıkmış olacak. bu durumda öneriniz nedir?
bu durumda kullanıcı bazlı bir token oluşturmak daha mantıklı olur, mesela session id'yi alıp token olarak kullanabilirsiniz tabi kullanırken şifrelemeyi unutmayın (örnek şifreleme için prototurk.com/cevap/7), böylece sekme değişsede session id değişmeyeceği için bir problem teşkil etmez ancak hala bu saldırıdan korunmuş olur
Video çok güzel olmuş eline sağlık,bilgisayarının linkini bizimle paylaşabilir misin ve bu arada klavyeni çok hızlı kullanıyorsun yavaş ol bizde birşeyler görelim :D
saçmalıktan başka bişey değil post.asp-------------------------------------------------------------------------------------------- If Request.ServerVariables("HTTP_REFERER") = "myDomain" Then record() Else shoot() End If ---------------------------------------------------------------------------------------------------------- bu kadar basit, kal sağlıcakla.....
Görüntü kalitesi biraz kötü çıkmış arkadaşlar kusura bakmayın ya :) yakışmadı bize :D
NOT: Eğer sitenizi cloudflare arkasına alırsanız otomatik olarak CSRF koruması olacaktır bu arada ihmal etmeyin.
EK OLARAK: SameSite cookie tanımı ilede bunu yapmak mümkün ancak bir süre daha geleneksek yöntemle yürümek daha sağlıklı olur sanırım.
Teşekkürler hocam. Token'a ilk girişi yine senin sayende yapmış bulunduk. Senin izinden gidebilmek ve insanlara tıpkı senin gibi öğretme mücadelesine girebilmek dileğiyle...
CSRF Token ne biliyordum ancak kendim nasıl yazacaktım bilmiyordum laravel altyapısında çalışıyordu merak ediyordum çok iyi oldu bu çok teşekkürler.
Abi muhteşemsin muhteşem. Nolur bu bu tarz şeylerin devamı gelsin. Daha güvenli kod yazmak adına, açıkları kapatmak, önlemler almak adına, swl injection gibi. Lütfen abi. Başka böyle anlatanan denk gelmedim. Tam aradığım içerikler
çok iyi açıklamışsınız teşekkürler
Bu videonu ilk izlediğimde anlayamamıştım. Kim yapcak ki benim sitemde falan diye düşünmüçtüm. Ama şimdi daha anlamlı geldi.
"benim gibi rahatsızsan linkleri gizli sekmede açarsın" ÇÖASDÖÇASDÖÇ, kendimi gördüm
Çok bilgilendiriciydi, teşekkürler usta.
Çok güzeldi.. Teşekkürler Tayfun
Peki peşine XSS ve Session Hijacking gelir mi?
deneriz :)
htmlspecialchars(strip_tags($content)) :D
@@wlss_ kullanım şekilleri de çok önemli. kesin çözüm değil.
ellerine sağlık, güvenlik ile ilgili uzun bir videoda bizleri buluşturursan seviniriz😀
cok faydali oldu cok tesekkurler senin sistem ise yaramadi bende neden bilmiyorum ama mantigindan yola cikarak farkli bir yol haritasi cizdim cook tesekkurederim aciklari kapama adina guzel videolar bekliyoruz senden :) yolun acik olsun
cookie çalma , xss vb. konuları senin ağzından dinlemeyi çok isterim tayfun hocam. kısa süre içinde yüklersen bizi çok mutlu etmiş olursun
HOCAM ÇOK GÜZEL BİR PAYLAŞIM ELİNİZE EMEĞİNİZE SAĞLIK.
Harika video olmuş Tayfun. 👍🏻
Mükemmel bir anlatım,emeğinize sağlık :)
adamın dibi prototurk
Teşekkürler Tayfun hocam. Güvenlikle ilgili videolarınızın devamını merakla beklemedeyiz.
Çok güzel ve faydalı anlatım.
Güzel anlatım, teşekkürler :)
muhteşem bir anlatım gerçekten
Bu çok yararlı olmuş tayfun
Hocam Android uygulama tarafında nasıl bir yol izlemeliyiz örneğin mysql tarafında crud işlemleri yapmak için php web api oluşturmak istiyorum. baştan sona böyle bir video serisi yapma şansınız var mı ya da öneriniz?
Efsane bir video olmuş eline sağlık
Anlatım çok iyi olmuş.
Reis emeğine sağlık çok faydalı oldu mobil app için bir api hazırlıyordum çok işime yaradı sağolasın
Ellerinize sağlık hocam
Çok güzel bir anlatımdı teşekkürler hocam
hocam bu tür videoların devamını bekliyoruz emeğine sağlık
Hocaamm bize böyle gel çok güzel konulara değiniyorsun bu aralar 🙃
end jenerik cok iyi abi tron filminden firlamis gibi 👌👌
Kesinlike çok yararlı
Adamsin abim cok sey ogrendik senden
Adana önemli hocam ^^
Nedense tayfun hocam token ile konuşurken senin bu videon karşıma çıktı birde kusura bakma ama ben senin site de hocam postman ile üye girişi falan kayıt ol takip etme olayını denedim onda token yok diye böyle kolay oldu galiba bu arada hocam ellerine sağlık video için çok güzel bir fikir verdi birde bir sorum olucaktı laraveldeki csrf_token demi bu mantık ile aynı bi bilginiz varmı
terzi kendi söküğünü dikemezmiş :D üşendim onu yapmaya da yapmak lazım, siz siz olun bilmediğiniz linklere tıklamayın sonra mazallah :D evet laravel ve diğer frameworklerdeki olayda bunun için adı üstünde csrf_token zaten :)
"Kendinize çok iyi bakın, _TOKENsız_ kalmayın."
Editör ve tema olarak ne kullanıyorsunuz hocam
phpStorm material temaydı sanırım
İçerik için teşekkürler. Kafama takılan konu biz token anahtarını hidden olsa da ekliyoruz. Kaynağı inceleyen doğrudan erisebiliyor. Kötü adam hazırladığı tuzak formu ikinci sekmede açarak bu token anahtarını da alip gönderirse istediğini yine yapmış olmuyor mu?
Her get isteğinde token güncelleniyor bilmesi mümkün değil o yüzden
SameSite default enable olduğu için pek bi önemi de kalmadı zaten
Man in the middle denilen phishing sitelerindeki cookie sistemi nasil calisiyor peki bilginiz varmi
Peki, direkt bir post geldiğinde kullanıcının SESSION'dan gelen id'sine göre işlem yaptırırsak zaten sorunu ortadan kaldırmış olmaz mıyız?
Farketmiyor kardeş,burada senin sessionda kullanıcı id si olması tam tersi kişinin senin adına işlem yapmasına olanak tanıyor! token kullanmayan bütün sistemler videoda anlatıldığı gibi güvenlik açığıdır.
Abi adam bu kadar uğraşıyor niye dislike niye lan
arkadaşlar prototurkun javascript dersleri varmı ben bulamadım kanalda link atabilcek varmı eğer varsa
Bu sızma olayı sadece bizim kullandığımız pcde mi mümkündür? Yoksa uzaktan başka birisi erişip işlem yapabilir mi bizim hali hazırda giriş yaptığımız kullanıcı üzerinden?
hayır erişemez, client-side taraflı bu tarz işlemlerde mümkün olabilir sadece
@@PROTOTURKCOM teşekkür ederim 🙏
helal
Peki kullanıcı 2 veya daha fazla tarayıcı sekmesinden girdiğinde önceki formların tokenleri artık geçersiz olduğundan onlar hata vermeyecek mi? Sadece en son açılan sekme çalışacak. Bir de videoda gösterdiğiniz hack sayfası hacklenen sayfa ile aynı alan adı altında, normalde öyle olmayacağından tarayıcı cookieleri post etmiyor benim bildiğim.
cloudflare gibi bir sitenin ardına gizleniyorsan ya da güncel bir tarayıcı kullanıyorsan evet şu günlerde biraz daha zor ancak bu açık hala mevcut o yüzden client-side tarafında işlem yaptığı için hala yapma şansı var. Ve evet tab değiştiğinde token'ı güncellemek lazım o yüzden şifreli bir token generate edebilirsin kullanıcıya özel örneğin session id'sini belli bir anahtar değer ile şifrelersen ve token olarak bunu kontrol edersen bu sefer diğer sekmeler sorun olmayacaktır ama saldırganın işinide engellemiş oluruz.
Firebase ile alakalı da bir video çekermisin? güvenlik kuralları nasıl işliyor en sağlam güvenlik kuralı bile kırılabilir mi?
valla firabase'i ben de kullanmadım, birlikte öğreniyoruz serisi yapmayı planlıyorum orada inceleriz
@@PROTOTURKCOM fire base ve react native kullanip ugulama yaparmiyiz be?
Ekstra olarak Honeypot da kullanılabilir.
honeypot daha çok spam yapanlar için bir yöntem, csrf önleme gibi bir durumu söz konusu olmaz :)
umarım güvenlik videolarına devam edersin abi. diğer eğitici videolarında dikkat etmiyordun.
Burada ki zaafiyet CORS ile de önlenebilir.
Peki kullanıcı birden çok sekme ile çalışıyorsa, kullanıcı ilk açtığı sekmeye dönüp işlem yaptığında doğal olarak o token çöpe çıkmış olacak. bu durumda öneriniz nedir?
bu durumda kullanıcı bazlı bir token oluşturmak daha mantıklı olur, mesela session id'yi alıp token olarak kullanabilirsiniz tabi kullanırken şifrelemeyi unutmayın (örnek şifreleme için prototurk.com/cevap/7), böylece sekme değişsede session id değişmeyeceği için bir problem teşkil etmez ancak hala bu saldırıdan korunmuş olur
@@PROTOTURKCOMsaldırgan post isteğinden önce get atıp bu çerezi okursa 😀😀
Modern tarayıcılar zaten buna izin vermiyor ama, tarayıcı korumuyorsa korunmuyor diyebilirmiyiz
Video çok güzel olmuş eline sağlık,bilgisayarının linkini bizimle paylaşabilir misin ve bu arada klavyeni çok hızlı kullanıyorsun yavaş ol bizde birşeyler görelim :D
çok iyidi :D
Stanger Things izlenmiş
Apilerle çalışıyorsak bunun önlemini biz mi almalıyız yoksa backend tarafındamı alınmalı
Stranger things müziğini de arka plana koymayanda ne bilm
haha
fear twd daniel?
Virus benim :D
Tokensiz kalmayın.
yorum
Teşekkürler paylaşım için. Backend tarafında CORS policy'leri ayarlamak da etkili çözüm olacaktır.
developer.mozilla.org/tr/docs/Web/HTTP/CORS
saçmalıktan başka bişey değil
post.asp--------------------------------------------------------------------------------------------
If Request.ServerVariables("HTTP_REFERER") = "myDomain" Then
record()
Else
shoot()
End If
----------------------------------------------------------------------------------------------------------
bu kadar basit, kal sağlıcakla.....