Altın Yumruk

Günümüzde programlama platformları güvenliği ön plana çıkaran altyapılar sunuyorlar. Dolayısıyla XSS, Sqli gibi temel zafiyetlerin ortaya çıkma durumu eskisine göre oldukça azalmış durumda. Bu noktada fark yaratan bir pentest için temel prensip; görülmeyeni görebilmek, düşünülmeyeni düşünebilmek.

Yeni bir web portalın testini yapıyorum. Üyelik sistemini inceliyorum ve dummy bir hesapla üye oluyorum. Aynı zamanda oturum açmada kullanılan e-posta değeri read-only olarak geliyor. Senaryom aşikâr, acaba bunu bozabilir miyim?

Profili güncellemek için proxy‘ye atıyorum ve inceliyorum. Tüm parametreler POST isteğine düşerken e-posta parametresi düşmüyor. Oldukça güzel. Bu durumda ben kendim manüel olarak email parametresi ekliyorum ve POST isteğini gönderiyorum.

Sonuç beklediğimden daha ilginç. Portalden çıkış yapıp tekrar login olmaya çalıştığımda oturum açamıyorum. Parola sıfırla seçeneğine geliyorum, “kullanıcı bulunamadı” diyor. Aynı hesapla yeniden üye oluyorum ve giriş yapmaya çalışıyorum. Hâlâ aynı hata durumunu alıyorum.

Anlıyorum ki yapmış olduğum işlem, sistemin tüm akışını etkilemiş ve veri tabanını bozmuş. Aklıma izlemekten büyük keyif aldığım Mike Tyson maçları geliyor. İlk birkaç güçlü yumrukta rakip yere seriliyor.