Noktaları Birleştirmek

Bir kurumun portallarını inceliyoruz. Sadece o kurum üyesi kişilerin kimlik bilgileriyle giriş yapılabiliyor.

Stajyer arkadaşımız pasif bilgi toplama yöntemleriyle kurum kapsamındaki bir kişinin kimlik bilgilerine ulaşıyor. Acaba diyorum, bu bilgilerle kurum portalına üye kaydı yapabilir miyim? Bu bilgilerle deniyorum ve üyelik işlemini tamamlıyorum.

Ekibimizin takım lideri ise bu aşamada portal üzerinde CSRF zafiyeti olduğunu tespit ediyor. Bu durum; herhangi bir yetkilendirme sürecinden bağımsız olarak verileri değiştirebileceğim anlamına geliyor. Hazırladığı PoC HTML dosyasıyla, kurban kişinin bilgilerini tamamen değiştirebileceğini ve dilediği şekilde güncelleyebileceğini gösteriyor.

Sonuç, tam bir takım çalışması oluyor.