Sıradaki Gelsin

Türkiye’de sürekli verilerin çekildiğini, dump edildiğini ve dark web ortamında satıldığına tanık oluyoruz. Çoğu defa bunun SQL Injection ile veri tabanının dump edilmesi şeklinde olduğu düşünülüyor. Ancak günümüzde toplu verileri dump etmenin en olası yolu IDOR ve Rate Limiting zafiyetlerinin birlikte istismar edilmesi ile verilerin ardışık olarak çekilmesi sanıyorum.

Bugün önemli bir portalın pentestini yapıyorum. Doğal olarak ilk hedefim kullanıcı ve kimlik yönetimine ilişkin konular. Bir kurumsal kullanıcının bilgilerini proxy üzerinden inceliyorum.

Portalde maskelenmiş olan kritik verilerin proxy üzerinde rahatlıkla okunabilir olduğunu görüyorum. Daha da önemlisi bu kurumsal kullanıcı verisinin nümerik olarak çekildiğini görüyorum. Ardından bu işlemi nümerik olarak ardışık olacak şekilde gerçekleştiriyorum. Binlerce kullanıcının tüm verisinin ardı ardına önümde aktığını görmek pek şaşırtmıyor. Şeytan ayrıntıda gizlidir diyerek ekran görüntülerimi alıyorum.