Bahçe Kapısından Giriş Yapmak

Çok güzel bir otelin pentestindeyiz. Kullandıkları kurumsal masaüstü yazılım da dikkatimizi çekiyor. Uygulamanın aynı zamanda API desteği de mevcut. API yardım dokümanını incelediğimde authentication ile ilgili en ufak bir fonksiyon tanımı olmadığını görüyorum. Dolayısıyla API üzerinden POST istekleri göndererek rezervasyon ve ödeme gibi verileri değiştirmem mümkün.

Sanırım masaüstü uygulamasını geliştiren yazılım firması sadece masaüstü oturum açma ve kullanıcı yetkilendirmesine güvenmiş. Durumu bir yandan ilgili teknik arkadaşlara izah ederken bir yandan da raporumuza durumu ekiyoruz.