Kimlik Kartını Çalmak

Bayram olması çoğu iş alanı için dinlenme zamanı, bazı özel ve hassas müşterilerimiz için test edilebilme zamanı, dolayısıyla bizim için de çalışma zamanı. Bu yüzden temel ziyaretler dışında sürekli pentest yapıyorum.

Kendisi de aktif pentest yapan bir misafirim geliyor. Merakından, “her defasında kendini tekrarlamıyor musun, ya da sıkılmıyor musun?” diye soruyor. “Hayır” diyorum, “çünkü her bir pentest yüzeyi ayrı bir akış ve ayrı bir hikâye barındırıyor. Oradaki hikâyeyi okuyarak zafiyet aramak her defasında farklı bir deneyim”.

Testini yaptığım web portalının şifre yenileme linkini inceliyorum. Linke tıkladığımda portal adresi sonunda sadece USER_ID değeri geldiğini görüyorum. Üstelik doğrudan mevcut şifreyi bilmemi beklemiyor. Ancak USER_ID değeri tahmin edilebilecek ya da ardışık sıralanarak denenmesiyle bulunabilecek bir değer değil.

Araştırmaya devam ediyorum.

Admin hesabıyla dolaşıp tüm trafikten önemli olanları kaydediyor ve inceliyorum. Amacım önemli API adreslerini tanımak. Baya bir denemeden sonra nihayet kullanıcıların USER_ID değerini de veren bir GET trafiği yakalıyorum. Ardından yetkisiz kullanıcıyla giriş yaparak ona ait Authorization Bearer değeri ile aynı GET isteğini gönderiyorum. Yetki kontrolü yapılmadığı için Admin dahil tüm hesapların USER_ID değerini görebiliyorum. Bu bilgiyle Admin dahil herhangi bir hesaba şifre yenileme yöntemiyle account takeover yapabiliyorum.