İstemci Tarafındaki Kilidi Kırmak

Zafiyet açısından korunması en zor ortamlardan biri, çoklu ve farklı seviyelerde kullanıcı rollerine sahip portalların güvenliği. Doğal olarak pentest gözüyle baktığımda amacım hak yükseltme vektörlerini araştırmak.

Uygulamaya hem yüksek hem de düşük yetkili bir kullanıcı rolüyle giriş yapıp inceliyorum. IDOR zafiyetleri arıyorum ama bulamıyorum. Bir yerde yüksek yetkili kullanıcının analiz sonuçlarını network ya da bulut üzerinde bir ortama kaydedebilirken düşük yetkili kullanıcının buna izni olmadığını ve buna ilişkin butonun donuk olduğunu görüyorum.

Hemen trafiği kesiyorum ve Burp üzerinden hazırlamış olduğum kali_bilgisayar/tmp/dump yolunu veriyorum. Bingo, hiç de şaşırtmayan bir şekilde analiz sonuçları Kali makineme aktarılıyor.