Vazgeçmemek Lazım

Herhangi bir web portalının en hassas paneli doğal olarak account yani hesap ve kimlik bilgilerinin düzenlendiği paneldir. Çünkü burada tespit edeceğiniz en ufak bir zafiyet doğrudan hesap ele geçirme ya da hak yükseltme saldırısı anlamına gelmektedir.

Bu mantıkla API üzerinden hesap profil sayfasını proxy üzerinden inceliyorum. Güncellemek istediğimde sadece e-posta adresini güncellememe müsaade ediyor. Ben (en az yetkili kullanıcıyla oturum açmış olarak) yine de diğer kullanıcı yönetim trafiğinden elde ettiğim kullanıcı adı, soyadı, parolası, rolü gibi parametreler ekleyerek POST isteğini gönderiyorum. Ancak POST isteğim kabul edilmiyor. Başka kullanıcıları hedef alan istekler gönderiyorum ve kabul etmiyor.

Bu defa POST isteğini PUT olarak yeniliyorum ve tekrar deniyorum. Kullanıcı kendi ad ve soyadını normalde POST ile değiştiremezken ve 400 hatası alırken PUT ile değiştirebiliyor. Bu ufak ilerleme bana heyecan veriyor. Hemen rol olarak admin yetkisi vermeye çalışıyorum. Ancak bu yöntem başarılı olmuyor. Başka kullanıcılara ait verileri değiştirmeye çalışıyorum, başarılı olmuyor. Mevcut bir e-posta adresiyle yeni hesap açayım diyorum, izin vermiyor.

Başka neler yapabilirim düşünmek üzere biraz mola veriyorum.