İd'yi değiştirince neler oluyor hayatta
~Tanım~
IDOR, "Insecure Direct Object Reference" kelimelerinin kısaltmasıdır ve bir güvenlik açığı türüdür. Genellikle bir web uygulamasındaki hassas verilerin yönetildiği, saklandığı veya alındığı yerde meydana gelir. Bu açıkta, doğrudan nesne referanslarına dayalı kimlik doğrulama mekanizmaları nedeniyle saldırganlar, yetki verilmemiş bir şekilde hassas verilere erişebilirler. Örneğin, bir web uygulamasında kullanıcılara ait profillerin görüntülendiği sayfada bir IDOR açığı varsa, saldırganlar doğrudan başka kullanıcıların profillerini görüntüleyebilir veya düzenleyebilir. Bu tür açıklar, web uygulamasının tasarım veya uygulama aşamasında düzgün bir şekilde test edilmezse fark edilemeyebilir.
~Uygulama~
labımıza kullanici olarak giriş yapalım.
önümüze panel sayfamız açıldı.
kullanıcılar kısmından adminin profiline gidince adminin id si gözüküyor.
kendi kullanıcımın şifresini değiştirirken burp ile araya giriyorum.
burada kendi id min 23 olduğunuda gördüm.
id değerini 1 ile değiştirip passwordu 1234 şeklinde ayarladım.
admin:1234 olarak login olmaya çalışalım.
görüldüğü üzere admin kullanıcısının şifresini yetkisiz bir şekilde değiştirip, admin olarak giriş yaptım.
Okuduğunuz İçin Teşekkürler