Mektup Kime Gidecek

Web portal pentestlerinde çokça karşılaştığımız zafiyet yüzeylerinden bir tanesi ise mesajlaşma özelliği oluyor. Genelde yazılımcılar işlevsel düşündükleri için bir saldırganın sahte mesaj atmak isteyebileceğini hesaba katmıyorlar.

Testini yaptığım portalde “Bize Ulaşın” seçeneğini proxy ile kesiyorum, gönderdiğim mesajda Ad Soyad, eposta ve telefon numarası normalde read-only ve değiştirilemezken ben dilediğim gibi üzerinde oynuyorum. Karşı tarafa hazırladığım sahte mesajı rahatlıkla gönderebiliyorum.

Özellikle hakaret ve hukuki boyutu olabilecek böylesi bir zafiyet yüzeyinin her zaman dikkate ele alınması gerekiyor.