Keşfetmenin Gizemi

Siber güvenlik ve hacker’lık aslında ince ayrıntılardaki ilginç boşluk yada ilişkileri yakalayabilmek demek. Teknikten ziyade sanat. Sanatla birlikte bir duygu. O duygu ise “gizem”.

Kendisi çok iyi bir yazılımcı olan bir arkadaşımın geliştirdiği bir süredir sahada canlı hizmet veren bir “İşletme Otomasyon Yazılımının” pentestini birlikte yapıyoruz.

Single-Page-Application olan yazılım doğal olarak Javascript’in yeteneklerine dayanıyor. Önyüz odaklı bir yazılım olarak çok pratik ve hızlı çalışıyor, üstelik bilinen klasik web zafiyetlerinin birçoğu temelden devre dışı kalmış oluyor. Ancak bu tarz mimarilerde defalarca gözlemlediğim bir sorun, hak yükseltme zafiyetlerine karşı olan direncin zayıflığı oluyor. Router üzerinden gelmeyen bir istek unutulabiliyor.

Uygulamaya öncelikle işletme sahibi olarak giriş yapıyorum ve fonksiyonları inceliyorum. Özellikle diğer kullanıcılara rol tanımlama fonksiyonları dikkatimi çekiyor ve onları inceliyorum.

Ardından stajyer yetkisiyle giriş yapıyorum. Arkadaşımın da desteğiyle tarayıcı console ekranı üzerinden kullanıcının kendi rolünü tanımlayan Javascript fonksiyonunu yazıyoruz. Gerçekten de stajyer yetkili kullanıcımız, fonksiyonun çalışmasıyla anında işletme sahibi ekranına ulaşıyor. Gerisi ise artık tamamen kendi kontrolüne geçiyor.

Arkadaşım, birlikte yaptığımız bu çalışmadaki bulgumuzdan çok mutlu oluyor. Ben ise tarayıcı ekranından uygun komutları yazarak sonuca ulaşmanın ne kadar etkileyici olduğunu tekrar görüyorum.