Bazen Yol Üzerindeki Sapaklara Girmek Gerekir

Şeytan ayrıntıda gizlidir demişken. Saldırı her zaman bir sistemin ya da uygulamanın yumuşak karnından gelir. Yeni bir İK web portalının testini yapıyorum. Oturum açma ve kimlik bilgileri oldukça güzel korunmuş durumda. Pek hareket edemiyorum.

Uygulama içinde dolaşırken kendi kullanıcımın bordro bilgilerini görmek istiyorum. Bu esnada pop-up bir ekranda yeniden kullanıcı adı ve parolamı istiyor. Hemen gözlerim parıldıyor, çünkü burada herhangi bir CAPTCHA koruması aşikâr şekilde yok. Kullanıcı adı ve parolayı girip trafiği proxy’ye atıyorum. Ardından başka bir test kullanıcısının üzerinde sözlük saldırısı yapıyorum. Bingo, doğru parola ile eşleşince paket boyutu değişiyor.

Başkasının kimlik bilgisini (potansiyel olarak) ele geçirebiliyorum.