Elimdeki Bilet Ya Geçerliyse

Bir sızma testinin başarısı iş akışını ve sistemin mantığını anlamakla doğru orantılı. Bu nedenle bazen geri çekilip, arkaya yaslanıp kuşbakışı görünümüne geçmek çok faydalı olmakta. İncelediğim web portaldeki kullanıcının zaten tüm yetkilere ve her varlığa erişimi olduğunu görüyorum. Müşterimden bana daha az yetkili bir kullanıcı da açmasını ve paylaşmasını rica ediyorum.

Ardından şöyle bir senaryo deniyorum:

  1. Az yetkili kullanıcıyla oturum açıp proxy’de (çerez bilgilerini tutmak amacıyla) saklıyorum
  2. Yönetici yetkisine sahip kullanıcıyla oturum açıp kritik verilerin yer aldığı adrese giriyorum ve onu da proxy’ye atıyorum
  3. Az yetkili kullanıcının çerezini buraya yapıştırıyorum ve trafiği yeniden gönderiyorum. Aynı veriye ulaşabildiğimi görüyorum.

Sonuç olarak hedef adresi bildiği taktirde az yetkili kullanıcının sonuç alabilme potansiyelini göstermiş oluyorum.