Farklı Bakış Açılarını Keşfetmek Bir Sanattır

Müşterimiz bizden bir yönetici panel girişinin testini yapmamızı istiyor. Tamamen siyah kutu testi olacak.

Biraz inceledikten sonra; parola yenileme ekranında, rasgele eski bir parolayla yeni parola verme işlemi yapıyorum. Farklı kullanıcı adları denediğimde, kullanıcı tanımlıyken verdiği uyarı mesajı ile tanımsız olduğu duruma göre verdiği uyarı mesajının farklı olduğunu görüyorum. Burada bir kullanıcı keşfi (user enumeration)zafiyeti olduğu kendini gösteriyor.

Ardından tanımlı olan bir kullanıcı üzerinde sözlük saldırısı yapıyorum. CAPTCHA koruması yok. Ancak bir süre sonra trafik yanıtında, o hesabın kilitli olduğu uyarısını alıyorum. Ancak bu yönetici hesabı ve ben bu yöntemle bu hesabı sürekli kilitli olarak tutabileceğimi fark ediyorum. Bunu da bir zafiyet olarak raporumuza ekliyorum.

Pentestin en çok sanatsal yönünü seviyorum.