Önce İzin Verip Sonra Denetleme

Zafiyetli noktayı yakalamak ve sömürmenin sanatsal bir yönü var. Akışı izle, anla, manipülasyon noktasını keşfet, ilerle ve sömür.

İncelediğim web portalında bayi işlemlerinin bir kısmının üst kademe tarafından onaylanması gerekiyor. Ancak bazı bayilerin bu onay mekanizmasını atlatabildiği gözlemlenmiş. Müşterim benden bu konuda destek istiyor. Ben ve ekibime bu konuda gösterdikleri inanç beni ayrıca mutlu ediyor.

Yazılımın iş akışını inceliyor ve onay adımına kadar ilerliyorum. Burada butona basınca her zaman yaptığım gibi proxy‘ye atıyor ve her bir adımı daha derinden incelemek için saklıyorum.

Daha ilk POST isteğinin yanıtına baktığımda, aslında ekranda bir sonraki yetkili adımın ekranının geldiğini görüyorum. Ancak sonraki adımlarda bir noktada denetim mekanizması devreye giriyor ve kullanıcıyı yeniden başlangıç noktasına yönlendiriyor.

Bu noktada işlemi tekrarlıyorum. Ancak bu defa ilk işlemden sonraki tüm adımları “drop” ediyor ve öyle ilerliyorum. Bir süre sonra denetim mekanizması da devre dışı kaldığı için gerçekten işlem akışını onaylar hale geliyorum.

Normal insan gözüyle fark edilemeyen bir iş akışı sıralama hatası, ince ince ilerleyince kendini gösteriyor ve bana hak yükseltme imkanı veriyor.