Sofraya Buyur, Gel!

Bazen kullanıcılara sunduğumuz bir yetenek kendi aleyhimize işleyebilir. Bu nedenle sunduğumuz her yeteneğin saldırgan gözüyle de ne anlama geleceğini değerlendirmek gerekiyor.

Ekibimizin deneyimli üyesi, hedef portal üzerinde keşif yaparken alt dizinlerden birinde API fonksiyonlarını anlatan bir yardım sayfası tespit ediyor. Bu yardım sayfasını inceleyince, hiçbir oturum denetimi olmadığını şaşkınlıkla görüyoruz.

Örnek olarak anlaşmalı kurumların listesini sadece bir GET isteği ile elde edebildiğimizi gözlemliyoruz. Daha da önemlisi uygun bir POST isteği ile yeni bir üye tanımı yapabildiğimizi ve finansal bazı özelliklerini onaylayabildiğimizi tespit ediyoruz. Üstelik Recaptcha özelliğinin de işlevsiz olduğunu ve dolayısıyla SMS dahil ardışık istek gönderme kısıtına (rate limit) takılmadan dilediğimiz kadar paket gönderebildiğimizi anlıyoruz.

Hiç zaman kaybetmeden müşterimizi bu konuda bilgilendiriyoruz. Aşikâr şekilde öncelikle yardım sayfası erişime kapatılmalı. API fonksiyonları ise muhakkak şekilde yalnızca oturum yetkisi olan kişiler tarafından kullanılmalı. Ardışık istekler ise etkin olarak trafiği takip edilmeli.