Seni Sir İlan Ediyorum

Bir insan kaynakları portalının testini yapıyoruz. Vekalet işlemleriyle ilgili bir işlem menüsü görüyorum. Vekalet süreçleri, yapısı gereği karmaşık bir iş akışına sahip. Buraya kesinlikle bakmalı ve odaklanmalıyım diyorum.

Bir vekalet verme formu hazırlıyorum ve seçtiğim bir kullanıcıya vekalet verirken bunu proxy üzerinde kesiyor ve inceliyorum. Acaba vekaleti vereceğime alsam ne olur diyorum ve veren/alan parametrelerini değiştiriyorum. Ayrıca formun id değeriyle de oynuyorum.

İsteği gönderdiğimde gerçekten başarılı bir yanıt tepkisi alıyorum.Vekaleti alan kişi olarak artık kendimi görüyorum. Tam doğrulayamamakla birlikte bu durumun bir saldırganın dilediği kişiden dilediği yetkiyi alabileceği anlamına gelebileceğini değerlendiriyorum. Üstelik formun id değerini değiştirebilmem, başkalarının vermiş olduğu vekalet işlemlerini bozabileceğim anlamına geliyor.

İş akışı zafiyetleri, pentestin en keyif aldığım bulgularını barındırıyor.