TOKEN Neden Önemli?
HTML-код
- Опубликовано: 20 апр 2021
- Bu ders Tayfun Erbilen tarafından prototurk.com için hazırlanmıştır.
Kanala destek olmak için KATIL üzerinden size uygun seçeneği belirleyerek desteğinizi gösterebilirsiniz.
/ @prototurkcom
Yeni çıkardığım PHP Eğitim Setime gözatın!
udemy.com/php-egitim-seti/?co...
-- Sosyal Hesaplarım;
/ erbilennet
/ prototurkcom
/ tayfunerbilen
/ prototurkcom
/ tayfunerbilen
Görüntü kalitesi biraz kötü çıkmış arkadaşlar kusura bakmayın ya :) yakışmadı bize :D
NOT: Eğer sitenizi cloudflare arkasına alırsanız otomatik olarak CSRF koruması olacaktır bu arada ihmal etmeyin.
EK OLARAK: SameSite cookie tanımı ilede bunu yapmak mümkün ancak bir süre daha geleneksek yöntemle yürümek daha sağlıklı olur sanırım.
Abi muhteşemsin muhteşem. Nolur bu bu tarz şeylerin devamı gelsin. Daha güvenli kod yazmak adına, açıkları kapatmak, önlemler almak adına, swl injection gibi. Lütfen abi. Başka böyle anlatanan denk gelmedim. Tam aradığım içerikler
CSRF Token ne biliyordum ancak kendim nasıl yazacaktım bilmiyordum laravel altyapısında çalışıyordu merak ediyordum çok iyi oldu bu çok teşekkürler.
Harika video olmuş Tayfun. 👍🏻
Mükemmel bir anlatım,emeğinize sağlık :)
Çok güzeldi.. Teşekkürler Tayfun
HOCAM ÇOK GÜZEL BİR PAYLAŞIM ELİNİZE EMEĞİNİZE SAĞLIK.
Çok güzel ve faydalı anlatım.
Teşekkürler Tayfun hocam. Güvenlikle ilgili videolarınızın devamını merakla beklemedeyiz.
Güzel anlatım, teşekkürler :)
ellerine sağlık, güvenlik ile ilgili uzun bir videoda bizleri buluşturursan seviniriz😀
Teşekkürler hocam. Token'a ilk girişi yine senin sayende yapmış bulunduk. Senin izinden gidebilmek ve insanlara tıpkı senin gibi öğretme mücadelesine girebilmek dileğiyle...
Peki peşine XSS ve Session Hijacking gelir mi?
deneriz :)
htmlspecialchars(strip_tags($content)) :D
@@wlss_ kullanım şekilleri de çok önemli. kesin çözüm değil.
Çok bilgilendiriciydi, teşekkürler usta.
çok iyi açıklamışsınız teşekkürler
muhteşem bir anlatım gerçekten
cok faydali oldu cok tesekkurler senin sistem ise yaramadi bende neden bilmiyorum ama mantigindan yola cikarak farkli bir yol haritasi cizdim cook tesekkurederim aciklari kapama adina guzel videolar bekliyoruz senden :) yolun acik olsun
Çok güzel bir anlatımdı teşekkürler hocam
Bu çok yararlı olmuş tayfun
cookie çalma , xss vb. konuları senin ağzından dinlemeyi çok isterim tayfun hocam. kısa süre içinde yüklersen bizi çok mutlu etmiş olursun
Efsane bir video olmuş eline sağlık
Reis emeğine sağlık çok faydalı oldu mobil app için bir api hazırlıyordum çok işime yaradı sağolasın
Bu videonu ilk izlediğimde anlayamamıştım. Kim yapcak ki benim sitemde falan diye düşünmüçtüm. Ama şimdi daha anlamlı geldi.
Anlatım çok iyi olmuş.
Hocaamm bize böyle gel çok güzel konulara değiniyorsun bu aralar 🙃
Ellerinize sağlık hocam
hocam bu tür videoların devamını bekliyoruz emeğine sağlık
umarım güvenlik videolarına devam edersin abi. diğer eğitici videolarında dikkat etmiyordun.
"benim gibi rahatsızsan linkleri gizli sekmede açarsın" ÇÖASDÖÇASDÖÇ, kendimi gördüm
Adamsin abim cok sey ogrendik senden
end jenerik cok iyi abi tron filminden firlamis gibi 👌👌
Video çok güzel olmuş eline sağlık,bilgisayarının linkini bizimle paylaşabilir misin ve bu arada klavyeni çok hızlı kullanıyorsun yavaş ol bizde birşeyler görelim :D
Man in the middle denilen phishing sitelerindeki cookie sistemi nasil calisiyor peki bilginiz varmi
adamın dibi prototurk
Nedense tayfun hocam token ile konuşurken senin bu videon karşıma çıktı birde kusura bakma ama ben senin site de hocam postman ile üye girişi falan kayıt ol takip etme olayını denedim onda token yok diye böyle kolay oldu galiba bu arada hocam ellerine sağlık video için çok güzel bir fikir verdi birde bir sorum olucaktı laraveldeki csrf_token demi bu mantık ile aynı bi bilginiz varmı
terzi kendi söküğünü dikemezmiş :D üşendim onu yapmaya da yapmak lazım, siz siz olun bilmediğiniz linklere tıklamayın sonra mazallah :D evet laravel ve diğer frameworklerdeki olayda bunun için adı üstünde csrf_token zaten :)
Hocam Android uygulama tarafında nasıl bir yol izlemeliyiz örneğin mysql tarafında crud işlemleri yapmak için php web api oluşturmak istiyorum. baştan sona böyle bir video serisi yapma şansınız var mı ya da öneriniz?
Kesinlike çok yararlı
İçerik için teşekkürler. Kafama takılan konu biz token anahtarını hidden olsa da ekliyoruz. Kaynağı inceleyen doğrudan erisebiliyor. Kötü adam hazırladığı tuzak formu ikinci sekmede açarak bu token anahtarını da alip gönderirse istediğini yine yapmış olmuyor mu?
Her get isteğinde token güncelleniyor bilmesi mümkün değil o yüzden
Editör ve tema olarak ne kullanıyorsunuz hocam
phpStorm material temaydı sanırım
Peki kullanıcı 2 veya daha fazla tarayıcı sekmesinden girdiğinde önceki formların tokenleri artık geçersiz olduğundan onlar hata vermeyecek mi? Sadece en son açılan sekme çalışacak. Bir de videoda gösterdiğiniz hack sayfası hacklenen sayfa ile aynı alan adı altında, normalde öyle olmayacağından tarayıcı cookieleri post etmiyor benim bildiğim.
cloudflare gibi bir sitenin ardına gizleniyorsan ya da güncel bir tarayıcı kullanıyorsan evet şu günlerde biraz daha zor ancak bu açık hala mevcut o yüzden client-side tarafında işlem yaptığı için hala yapma şansı var. Ve evet tab değiştiğinde token'ı güncellemek lazım o yüzden şifreli bir token generate edebilirsin kullanıcıya özel örneğin session id'sini belli bir anahtar değer ile şifrelersen ve token olarak bunu kontrol edersen bu sefer diğer sekmeler sorun olmayacaktır ama saldırganın işinide engellemiş oluruz.
Peki kullanıcı birden çok sekme ile çalışıyorsa, kullanıcı ilk açtığı sekmeye dönüp işlem yaptığında doğal olarak o token çöpe çıkmış olacak. bu durumda öneriniz nedir?
bu durumda kullanıcı bazlı bir token oluşturmak daha mantıklı olur, mesela session id'yi alıp token olarak kullanabilirsiniz tabi kullanırken şifrelemeyi unutmayın (örnek şifreleme için prototurk.com/cevap/7), böylece sekme değişsede session id değişmeyeceği için bir problem teşkil etmez ancak hala bu saldırıdan korunmuş olur
"Kendinize çok iyi bakın, _TOKENsız_ kalmayın."
arkadaşlar prototurkun javascript dersleri varmı ben bulamadım kanalda link atabilcek varmı eğer varsa
Firebase ile alakalı da bir video çekermisin? güvenlik kuralları nasıl işliyor en sağlam güvenlik kuralı bile kırılabilir mi?
valla firabase'i ben de kullanmadım, birlikte öğreniyoruz serisi yapmayı planlıyorum orada inceleriz
@@PROTOTURKCOM fire base ve react native kullanip ugulama yaparmiyiz be?
çok iyidi :D
SameSite default enable olduğu için pek bi önemi de kalmadı zaten
Bu sızma olayı sadece bizim kullandığımız pcde mi mümkündür? Yoksa uzaktan başka birisi erişip işlem yapabilir mi bizim hali hazırda giriş yaptığımız kullanıcı üzerinden?
hayır erişemez, client-side taraflı bu tarz işlemlerde mümkün olabilir sadece
@@PROTOTURKCOM teşekkür ederim 🙏
helal
Abi adam bu kadar uğraşıyor niye dislike niye lan
Peki, direkt bir post geldiğinde kullanıcının SESSION'dan gelen id'sine göre işlem yaptırırsak zaten sorunu ortadan kaldırmış olmaz mıyız?
Farketmiyor kardeş,burada senin sessionda kullanıcı id si olması tam tersi kişinin senin adına işlem yapmasına olanak tanıyor! token kullanmayan bütün sistemler videoda anlatıldığı gibi güvenlik açığıdır.
Adana önemli hocam ^^
Ekstra olarak Honeypot da kullanılabilir.
honeypot daha çok spam yapanlar için bir yöntem, csrf önleme gibi bir durumu söz konusu olmaz :)
Burada ki zaafiyet CORS ile de önlenebilir.
fear twd daniel?
Stanger Things izlenmiş
Virus benim :D
Stranger things müziğini de arka plana koymayanda ne bilm
haha
Tokensiz kalmayın.
yorum
Apilerle çalışıyorsak bunun önlemini biz mi almalıyız yoksa backend tarafındamı alınmalı
Teşekkürler paylaşım için. Backend tarafında CORS policy'leri ayarlamak da etkili çözüm olacaktır.
developer.mozilla.org/tr/docs/Web/HTTP/CORS
saçmalıktan başka bişey değil
post.asp--------------------------------------------------------------------------------------------
If Request.ServerVariables("HTTP_REFERER") = "myDomain" Then
record()
Else
shoot()
End If
----------------------------------------------------------------------------------------------------------
bu kadar basit, kal sağlıcakla.....