Acaba Nasıl Üye Olabilirim?

İfa ettiğimiz sızma testlerinde kendimize koyduğumuz en temel hedef, bulgularımızla müşterimizi mümkün oldukça şaşırtmak ve hatta mümkünse şok etmektir. Sızma testi bizim için bu anlamda daha çok bir sanattır. Çünkü senden beklenen, senden önce zaten defalarca gözden geçmiş bir sistemde daha önce görülmemiş ve yakalanmamış olanı bulmak oluyor. Garip bir şekilde bir süre sonra sezgilerin o kadar gelişiyor ki, baktığın yerde zafiyetin olduğunu adeta hissediyorsun.

Test yaptığımız portalı açıyorum. Oturum açma ekranı geliyor. URL adres çubuğuna bakıyorum, normalde arayüzde olmamasına rağmen, hiçbir tarama yapmadan içimden login yerine register yazmak geliyor. Gerçekten de portale kayıt olabileceğimi görüyorum. Hemen kaydoluyorum ve bu hesapla oturum açıyorum. Biraz inceledikten sonra zaten super admin yetkisiyle oturum açmış olduğumu ve kullanıcı hesapları dahil her şeyi yönetebildiğimi farkediyorum.

Aslında biraz garipsiyorum. Bizden önce defalarca gözden geçmiş olan bir sistemde sadece “dirb” taramasıyla bile kendini gösterecek bir zafiyet neden daha önce çıkmadı? Yapılan özensiz bir sızma testinin, kurum/firmada oluşturduğu sahte güvenlik duygusunun ne kadar tehlikeli olduğunu görüyor ve aslında üzülüyorum.