Tarih Hiçbir Şeyi Unutmaz

Müşterimiz Türkiye’nin en büyük teknoloji şirketlerinden biri. Dışarı açık yüzlerce URL ve IP’yi taramamızı bekliyorlar. En az on yıldır her yıl zaten sızma testi hizmeti alıyorlar.

Bize liste vermelerine rağmen biz kendi keşif yöntemlerimizi de kullanıyoruz. Bunlardan bir tanesi tomnomnom araçlarıyla Web arşivinden kalan uç noktaların okunması. Bu şekilde hedefe yönelik birçok URL uç noktası keşfediyorum.

Bunlardan bir tanesi bir ufak bir doküman yönetim uygulaması. Üstelik kendim üye de olabiliyorum. Hemen üye olduktan sonra kendime ait evrakları proxy üzerinden analiz ediyorum. Evrakla ilişkili kendime ait bir kullanıcı id değeri okuyorum. Onunla biraz oynayınca başka kullanıcıların da tüm verilerini okuyabildiğimi görüyorum. IDOR yine kendini gösteriyor. Üstelik parolalarının da hash değeri var. Bir tanesinin parolasını rahatlıkla kırıyorum. O kişinin hesabını ele geçirmenin mümkün olduğunu görüp rapor yazmayı beklemeden müşteriyi haberdar ediyorum.

Sonra uç noktları incelemeye devam ediyorum. Bunlardan bir tanesi de “İnsan Kaynakları” uygulamasına ait. Bağlandığım URL adresinde CV ekleyebildiğimi görüyorum. Ekliyorum ve tekrar silmek istediğimde yine nümerik bir değerle karşılaşıyorum. Biraz inceleyince uygulamadaki CV.lerin tamamını silebileceğimi anlıyorum. Bunu da hemen müşterimize iletiyorum.

Buna çok şaşırıyorlar. Çünkü henüz tamamen siyah kutu testi aşamasındayız ve bize birer test hesabı vermemiş durumdalar. Durumun ilginçliğini ben de o anda fark ediyorum.

Meğer keşfettiğimiz uç noktası kimlik doğrulamanın bile arkasına ulaşmamı sağlamış. Asıl sonuç raporunu beklemeden bu bulgulara yönelik bir ara rapor hazırlıyoruz hemen.