Kapı Kapalıysa Pencereden Gireriz

Müşterimiz oldukça kıymetli web portalı için yalnızca siyah kutu testini yaptırmak istiyor. Herhangi bir test kullanıcısı vermeyeceğini belirtiyor.

Ekibimizin deneyimli üyesi portalı incelemeye başlıyor, kısa sürede login sayfasının bir üst dizininde “dizin listeleme” zafiyeti olduğunu ve burada bulunan aspx uzantılı dosyaları görebildiğini tespit ediyor. Tek tek her bir dosyayı inceliyor. Bir kısmı hariç bunların hemen tamamının giriş login sayfasına yönlendirdiğini anlıyor.

Biraz daha keşif yapmaya devam ediyor. Girebildiği sayfalardan bir tanesinin oturum açma token’ı barındırdığını fark ediyor. Buraya giriş yapınca tarayıcıda çerez de güncelleniyor. Daha önce açtığı tüm sayfaları tekrar açmayı deniyor ve gerçekten de açabiliyor.

Kayıt ekranından yeni bir kullanıcı kaydı yapıyor. Yönetim ekranından bu kullanıcı hesabını etkinleştirip yönetici yetkisi veriyor. Günün sonunda tüm sistem elimize geçmiş oluyor.