Sınavı İki Defa Çözebilmek

Sızma testini yaptığım web portalı, hazırlanmış sınavlarla adayların yeteneklerini ölçen ve ona göre sıralayan bir İK yazılımı. Bunun için adaya bir e-posta gönderiliyor ve aday o e-posta linki üzerinden sınavını başlatıyor.

Böylesi bir kurguda neyi manipüle edebilirim diye düşünüyorum. Gelen e-posta linkini inceliyorum. Sınavın id değeri ve adayın e-posta adresinin karartılmış halinden oluşuyor. Öncelikle sınavı normal bir aday gibi dolduruyorum ve sonuca kadar ulaşıyorum. Bu esnada doğal olarak o pozisyon için hazırlanmış olan tüm soruların ekran görüntülerini alabiliyorum.

Ardından gelen linkteki e-posta değerini 1234 gibi anlamsız bir değere dönüştürerek başka bir tarayıcıda açıyorum. Bingo, benden e-posta adresimi girerek sınav sürecini başlatmamı istiyor. Artık zaten bildiğim soruları yanıtlayarak sınavı tamamlayabiliyorum.

Senaryo hazır artık; önce geçici bir kimlik ve e-posta adresiyle başvuru yapıyorum. Ardından da yaptığım manipülasyonla gerçek kimlik ve e-posta adresimle sınavı tamamlıyorum.