Maskeli Balo

Testini yaptığımız portal bir kariyer portalı, dileyen adaylar açılmış iş pozisyonu için başvuruda bulunabiliyorlar. İlk aşamada TCKN, Ad, Soyad ve Doğum Tarihi bilgilerini isteyen bir panel ön kontrolü yapıyor, bilgiler doğru ve tutarlıysa ikinci panele geçiyor ve oradan aday kişisel bilgilerini girebiliyor.

Kurduğum denklem basit: Önce gerçek bir kullanıcı verisiyle (burada kendim) ilk panele giriyorum ve ikinci adıma geçiyorum. Burada verileri doldurup proxy’ye attığımda, ilk adımdaki verilerin de durduğunu görüyorum. Tam da tahmin ettiğim gibi. Burada kullanıcı adı ve diğer bilgileri değiştirerek tamamen sahte kullanıcı kimliğiyle başvuru yapıyorum.

Yine mantıksal bir boşluk ve bunun getirdiği zafiyet yüzeyi.