Teknoloji Yenilenir, Temel Prensipler Değişmez

JSON formatı veriyi hem yapısal ve nesnel hem de esnek olarak tanımlamanın en pratik yolu. XML’in yerini alması tesadüf değil. Bunun veri tabanı uzantısı olarak NoSql veritabanları, web uzantısı olarak ise API altyapıları artık en güncel çözümleri kapsamakta.

Bu durumun bir yan etkisi ise mobil güvenlik. Çünkü artık çoğu mobil tabanlı uygulama, aslında web API fonksiyonlarıyla etkileşime geçen birer istemciden başka bir şey değil. Doğal olarak mobil güvenlik ile web uygulama güvenliği gittikçe yakınlaşmış durumda.

Ancak yine de mobil uygulamaların kendilerine ait boşlukları kalmıyor değil. Test ettiğim uygulamayı root’lu olan telefonda inceliyorum. Uygulama çalışırken cihazda bıraktığı tüm yapılandırma ve geçici doyaları, veritabanlarını inceliyorum.

Dikkatimi bir iki adet veritabanı dosyası çekiyor. Onları cihaz dışına aktarıyorum. Onları yorumlayabilecek bir SQL Okuyucu ile açıp inceliyorum. Kullanıcı kimliğini temsil eden bir id değeri dikkatimi çekiyor. Onu değiştiriyorum ve tekrar cihazda aynı konuma push ediyorum.

Test telefonumdan uygulamayı açıyorum ve inanılmaz şekilde başkasının hesabıyla içeride olduğumu anlıyorum. Yine bir IDOR ama bambaşka bir ortam ve platformda.

Denetimin yalnızca istemci tarafında yapılması her zaman için yapılacak en büyük hatadır. Teknoloji ve platformlar değişse de temel prensip ve yaklaşımlar hiç değişmiyor.