CSRF (Cross-Site Request Forgery) Nedir? Test ve Korunma Rehberi

Siber Güvenlik Temelleri · 2026

CSRF Nedir?

İnternette gezinirken bir butona tıkladığınızda gerçekten o işlemi mi yapıyorsunuz, yoksa bir başkası sizin adınıza arka planda “imza” mı atıyor? CSRF, siber dünyanın en sinsi dolandırıcılık yöntemlerinden biridir.

Hayal edin: Bir banka şubesine giriyorsunuz, kimliğinizi gösteriyorsunuz ve işlemlerinizi yapıp çıkıyorsunuz. Ancak bankadan çıktıktan sonra, birisi cebinize gizlice bir kağıt sıkıştırıyor ve siz farkında olmadan o kağıtla bankaya “Hacker Mehmet’e 5.000 TL gönder” emri veriyorsunuz. Banka, kağıdı getirenin “siz” (yani tarayıcınız) olduğunu gördüğü için sorgusuz sualsiz bu işlemi yapıyor. İşte Cross-Site Request Forgery (CSRF) tam olarak budur.

Sistemimi Güvenceye Al Nasıl Test Edilir?

Rehber İçindekiler 1. CSRF Mantığı: Basitçe Nedir? 2. Adım Adım Bir Saldırı Senaryosu 3. Büyük Şirketlerin CSRF Kabusları 4. Uzmanlar İçin Test Adımları 5. Kendinizi ve Sitenizi Nasıl Korursunuz? 6. 2026’da Güncel Güvenlik Trendleri 7. Sık Sorulan Sorular

Tek Bakışta CSRF

Olay Ne? Sizin oturumunuz açıkken, başka bir sitenin sizin adınıza gizli işlem yapması.
Neden Oluyor? Tarayıcıların “çerezleri” otomatik olarak her isteğe eklemesinden dolayı.
Sonuç: Sizin haberiniz olmadan şifre değişimi veya para transferi.
Çözüm: Özel güvenlik jetonları (Token) ve modern tarayıcı ayarları.

Siber Hijyen Kolay Anlatım Web Güvenliği

1. CSRF Nedir? Güvenin Kötüye Kullanımı

Açılımı Cross-Site Request Forgery olan bu zafiyet, Türkçeye “Siteler Arası İstek Sahteciliği” olarak geçer. Buradaki anahtar kelime “sahtecilik”tir.

İnternet tarayıcıları (Chrome, Safari, Edge vb.) hayatınızı kolaylaştırmak için tasarlanmıştır. Bir sitede “Beni Hatırla” dediğinizde tarayıcı size bir “çerez” (cookie) verir. Siz o siteye her gittiğinizde, tarayıcı bu çerezi otomatik olarak sunucuya uzatır: “Bakın, bu bizim Ahmet, onun adına bu işlemi yapabilirsin.”

CSRF saldırısında kötü niyetli bir site, sizin tarayıcınıza şu komutu verir: “Banka sitesine git ve parayı transfer et.” Tarayıcınız, banka sitesine giderken çerezinizi de yanına aldığı için, banka bu isteği sizin bizzat yaptığınızı sanır.

Unutmayın: CSRF bir bilgi çalma yöntemi değildir. Saldırgan sizin şifrenizi öğrenmez; bunun yerine tarayıcınızı kullanarak sanki “sizmişsiniz” gibi işlem yaptırır.

2. Bir CSRF Saldırısı Nasıl Gerçekleşir?

Bir saldırının başarılı olması için kurbanın o sırada hedef sitede (örneğin bankasında veya sosyal medyasında) oturumunun açık olması gerekir.

Örnek: “Tebrikler, Kazandınız!” Tuzağı

Ahmet, banka hesabında oturum açmış bir şekilde başka sekmelerde geziniyor. Karşısına “Bedava Tatil Kazandınız, Tıklayın!” yazan bir reklam çıkıyor. Ahmet tıkladığı anda arkada şu süreç işler:

Reklam sayfası açılırken gizli bir kod çalışır.
Bu kod, Ahmet’in tarayıcısına banka.com/para-gonder?miktar=1000&alici=hacker adresine gitmesini söyler.
Tarayıcı, Ahmet’in banka çerezlerini (kimlik kartını) otomatik olarak bu isteğe ekler.
Banka sunucusu isteği alır, kimliği doğrular ve 1000 TL’yi gönderir.

Ahmet hala bedava tatil sayfasının yüklenmesini beklerken, işlemi çoktan tamamlanmıştır.

3. Devlerin Yaşadığı CSRF Sorunları

Bu hata sadece amatör sitelerde olmaz; dünyanın en büyük teknoloji devleri bile bu yolla sarsılmıştır:

Gmail Vakası: Geçmişte bir açık sayesinde, bir linke tıklayan kullanıcının tüm mailleri gizlice saldırganın adresine yönlendirilebiliyordu.
YouTube: Kullanıcıların haberleri bile olmadan videoları beğenmesi veya kanallara abone olması sağlandı.
Netflix: Kullanıcıların hesap ayarları ve film listeleri saldırganlar tarafından değiştirilebildi.

4. Sitem Güvende mi? (Test Metodolojisi)

Bir sistemin CSRF’ye açık olup olmadığını anlamak için uzmanlar şu soruların cevabını arar:

1. İşlem Tahmin Edilebilir mi?

Para gönderme veya şifre değiştirme linki site.com/sifre-degistir?yeni=123 gibi basit ve sabit mi? Eğer öyleyse, saldırgan bu linki kolayca taklit edebilir.

2. “Token” Var mı?

İstek gönderilirken her seferinde değişen, rastgele bir güvenlik anahtarı (token) kullanılıyor mu? Eğer bu anahtar yoksa, kapı hırsızlara açık demektir.

5. Kurumsal Korunma Yolları

Nesil Teknoloji olarak müşterilerimize her zaman “katmanlı savunma” öneriyoruz. İşte en etkili yöntemler:

Anti-CSRF Token Kullanımı

En popüler yöntemdir. Sunucu, kullanıcıya sadece bir kez geçerli olan gizli bir “parola” (token) verir. Kullanıcı bir işlem yaparken bu parolayı da göndermek zorundadır. Saldırgan bu gizli parolayı bilemeyeceği için sahte işlem yaptıramaz.

İkinci Onay Mekanizması

Para transferi veya şifre değişimi gibi kritik işlemlerde SMS onayı veya tekrar şifre sorma adımları eklemek, CSRF saldırısını %100 durdurur. Çünkü saldırgan tarayıcıyı kandırsa bile Ahmet’in telefonuna gelen kodu bilemez.

6. 2026 Standartları: Modern Tarayıcılar Sizi Koruyor

Günümüzde tarayıcılar artık daha akıllı. SameSite adı verilen bir özellik sayesinde, çerezlerin başka sitelerden gelen isteklere eklenip eklenmeyeceğine karar verilebiliyor.

Teknik İpucu: Çerezlerinize SameSite=Lax ayarını eklemek, modern dünyada CSRF saldırılarının büyük çoğunluğunu daha başlamadan bitirir.

7. Sık Sorulan Sorular

Antivirüs programları CSRF’yi engeller mi?

Hayır. CSRF bilgisayarınıza giren bir virüs değil, girdiğiniz web sitesinin yazılım hatasıdır. Bu yüzden site sahiplerinin önlem alması gerekir.

Sadece güvenli sitelere girersem korunur muyum?

Büyük oranda evet, ancak güvenli bir sitede gezerken arka planda açık kalan başka bir sekmedeki zararlı reklam bu saldırıyı tetikleyebilir. En iyisi, işiniz bitince sitelerden “Çıkış” (Logout) yapmaktır.

HTTPS (Asma Kilit) beni korur mu?

HTTPS, bilgilerinizin çalınmasını önler ancak CSRF bir “taklitçilik” saldırısı olduğu için HTTPS tek başına yeterli bir koruma sağlamaz.

Web uygulamanızın güvenliğini şansa bırakmayın. Uzman ekibimizle sistemlerinizi denetleyelim.

Ücretsiz Güvenlik Danışmanlığı Alın