Aynı Anahtar Birden Fazla Kişide Olursa

Müşterimizin kendi geliştirmiş olduğu ufak bir kariyer yazılımının pentestindeyim. Müşterimiz de konuya ilgi duyduğu için projeksiyon cihazından canlı olarak beni izliyor. Ben de yaptığım her adımı bir ders anlatır gibi paylaşıyorum.

Kariyer yazılımına, bir adet test e-posta hesabıyla üye oluyorum. Giriş yaptıktan sonra e-postamı değiştirebildiğimizi görüyorum. Acaba profilimizde mevcut bir kullanıcının e-postasını girsek ne olur diye düşünüyorum ve bunu deniyorum.

Gerçekten de sistem başkasına ait bu e-postayı kabul ediyor. Biraz inceleyince sistemdeki hesap bütünlüğünün bozulduğunu anlıyoruz. Yaptığımız incelemelerde, kurban e-postanın iki parolasının da sistem tarafından kabul ediliğini, saldıran hesabın ise veri tabanında kayıtlı olduğu halde sistem tarafından tanınmadığı ve hatta yeniden üye olmanın mümkün olduğunu gözlemliyoruz.