Bazen Tek Yapman Gereken Perdeyi Aralamaktır

Pentest kapsamında bir doküman yönetim sistemini inceliyoruz. Her zamanki gibi ilk baktığım yerlerden biri test hesabımın profil sayfası. Sayfada bazı özelliklerin varsayılan olarak geldiğini ve değiştiremediğimi gözlemliyorum. İlk iş olarak sayfayı proxy’ye atıyorum ve bu özelliklerle oynamaya çalışıyorum.

Ancak portalın altyapısı ASP.NET ve VIEWSTATE gibi özellikler nedeniyle kestiğim POST isteği çok karmaşık. Yaptığım denemelerden bir türlü verim alamıyorum. Bunun üzerine daha basit düşünmeye karar veriyorum. Tarayıcı üzerinden sayfayı denetle yan-sayfasını açıyorum, ilgili özellikleri değiştirilemez yapan “disable” etiketlerini siliyorum. Artık varsayılan olarak gelen özelliklerle oynayabiliyorum: Kendime onay yetkisi veriyorum, bazı kısıtlamaları da kaldırıyorum. Kaydet butonuna bastığımda ve profil sayfasına geri geldiğimde yaptığım değişikliklerin kalıcı olduğunu ve portalın kontrolü yalnızca ön tarafta yapıyor olduğunu anlıyorum.

Birçok defa zafiyet gözümüzün önünde oluyor, hatta bazen buradaki gibi bağırıyor.