Web for Pentester 2 – Authorization Çözümleri

Maceramız Web for Pentester 2 Authorization bölümüyle devam ediyor. Sırasıyla başlayalım.

Example 1

Sayfa açıldığında kullanıcı girişi ile karşı karşıyayız. Bize ilk başta bir kullanıcının bilgileri veriliyor. Bu bilgilerle giriş yapıyoruz.

Giriş yaptıktan sonra mevcut kullanıcıya ait bilgiler ekranda görülüyor. Bilgilere tıkladığımızda paylaşmayın tarzı şeyler çıkıyor. Elbette bu bir örnek ama buralarda kullanıcıya ait özel bilgiler olabilir. Gerçek hayatta bu tarz bir açıklıkla karşılaşma olasılığımız düşük olsada bu bilgilere giden URL’i kopyalıyoruz.

http://192.168.56.101/authorization/example1/infos/1 şeklinde bir bağlantı mevcut. Peki aklımıza gelen ilk şey çıkış yaptığımızda bu bağlantıya erişebilecek miyiz? Logout’a tıklayıp bağlantıyı tarayıcımızda açalım.

Bağlantının her yerden erişilebilir olduğunu görüyoruz. Hatta URL’in en son kısmında yer alan 1 sayısının info id’si olduğunu varsayarsak 2,3,4 yazıp başka kullanıcının bilgilerinide görebiliyoruz. Bu gerçekten kabul edilemez bir açıklık.

Example 2

Bir önceki örnekte diğer kullanıcının bilgisine rahatça ulaşabilmiştik ve her şey her yerden erişilebilir durumdaydı. Bu örnekte diğer kullanıcının bilgilerini görebilmek için giriş yapmış bir şekilde URL’in sonunda yer alan sayıları değiştiriyoruz.

Kimse bir başka kullanıcının kendi özel bilgilerini görebilmesini kabul etmez öyle değil mi?

Example 3

Bu örnekte bilgi görüntülerken URL değiştirip diğer kullanıcı bilgilerine bakamıyoruz fakat…

Bilgi düzenleme kısmı dikkatimizi çekiyor..

URL kısmında 1 sayısı yerine 3 gönderdiğimizde User2’nin bilgileri görünüyor.

Oldukça kısa tutulmuş bu bölümde en temel ve basit açıklıkları görmüş olduk. Umarım faydalı olmuştur.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir