Öncelikle bölüm 4 teki gibi uygulamanın erişim kontrol mekanizmasının değerlendirilmesi ve anlaşılması gerekiyor.
Hack Adımları
Öncelikle şu soruların cevaplarının aranarak tespit yapılır :
- Uygulama, kullanıcılara kendilerine ait bir veriye erişim imkanı sağlıyor mu?
- Farklı kullanıcı seviyeleri var mı? Farklı seviyelere karar veren admin gibi kullanıcı türleri var mı?
- Yöneticiler, yapılandırmak ve izlemek için aynı uygulamada yerleşik olan işlevleri kullanıyor mu?
- Yetki yükseltmeye sebep olabilecek hangi url’ler kaynaklar vs tanımlanabilir?
- Erişim düzeyi herhangi bir şekilde (cookie,html,POST url …) ile iletiliyor mu?
Öncelikle bunlar tespit edilip bunlara göre bir yol haritası çizilebilir.