1) Erişim Kontrolü Zayıflık Tespit Etme

Öncelikle bölüm 4 teki gibi uygulamanın erişim kontrol mekanizmasının değerlendirilmesi ve anlaşılması gerekiyor.

Hack Adımları

Öncelikle şu soruların cevaplarının aranarak tespit yapılır :

  1.  Uygulama, kullanıcılara kendilerine ait bir veriye erişim imkanı sağlıyor mu?
  2. Farklı kullanıcı seviyeleri var mı? Farklı seviyelere karar veren admin gibi kullanıcı türleri var mı?
  3. Yöneticiler, yapılandırmak ve izlemek için aynı uygulamada yerleşik olan işlevleri kullanıyor mu?
  4. Yetki yükseltmeye sebep olabilecek hangi url’ler kaynaklar vs tanımlanabilir?
  5. Erişim düzeyi herhangi bir şekilde (cookie,html,POST url …) ile iletiliyor mu?

Öncelikle bunlar tespit edilip bunlara göre bir yol haritası çizilebilir.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.