Kim Demiş Kendi Parametremizi Ekleyemeyiz Diye

Testini yaptığım web portalı düzenli olarak pentestten geçmiş ve WAF tarafından çok başarılı şekilde korunuyor. Öyle ki herhangi bir request işleminde yaptığım her bir manipülasyon etkisiz kalıyor. Saatlerce hiç ara vermeden birçok yöntem deniyorum ama dişe dokunur özgün bir şey bulamıyorum.

Portalın özelliklerini deşmeye devam ediyorum. Bir sekmede “Arkadaşını Davet Et” özelliği mevcut. Önce işlevsel gerçek bir test mesajını kendi e-posta adresime gönderiyorum. Bir mesaj içeriği ile birlikte ref linki ulaşıyor. Sonra tekrar gönderirken proxy üzerinden giden trafiğe bakıyorum. Sadece e-posta ve mesaj parametreleri var, giden linki maalesef manipüle edemiyorum. caba link diye bir parametre eklesem nasıl tepki verir diye düşünüyorum ve bu şekilde repeater üzerinden gönderiyorum. Gelen e-posta mesajında normalde gelmesi gereken link adresinin hiç olmadığını görüyorum. Dolayısıyla sadece benim göndermiş olduğum mesaj içeriği görünüyorum. Dolayısıyla bu mesaja bırakabileceğim sahte bir linkin oltalama saldırılarında başarılı şekilde kullanılabileceğini tespit ediyorum.

En ilginç bulguların, iş akışını anlayarak oluşturulan minik senaryolar üzerinden tespit edildiğini gözlemliyorum.