Yazılım Güvenliği - IDOR Zafiyeti

Maveraün Nehr

Maveraün Nehr

Blue Expert / Head of Malware Team
25 Haz 2021
976
1,865
41.303921, -81.901693
Pentester' Alıntı:
Bu video da php ile geliştirdiğimiz küçük bir uygulama üzerinde idor zafiyetinin nasıl oluştuğunu tespit ediyor ve önlüyoruz.
Genişletmek için tıkla ...
IDOR (Insecure Direct Object Reference)

https://domain.com/sifre_degistirme.php?hesap=460

Yukarıda örnek olarak bir url belirtilmiştir. Bu url’de domain.com kullanıcısına ait parolanın değiştirilmesi esnasında bazı metrik değerler görülmektedir. Bu url’i fark eden saldırgan 460 olan hesap metrik değeri ile değiştirmeler yapabilir. Yani hesap olarak bulunan metrik değeri ile sayısal olarak oynamalar yaparak, diğer userid kullanıcıların parolası değiştirebilir.

Güzel bir yöntem. Elinize sağlık.
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.