5) Metotlara Doğrudan Erişimin, Statik Dosyaların ve HTTP Metot Kısıtlamalarının Test Edilmesi

API erişimlerinde yetki kısıtlaması var mı yok mu denenmesi gerekir. Bunun dışında bilinen API isimleriyle de korumasız şekilde erişilebilir olup olmadığına bakmak gerekiyor.

Hack Adımları

  1. Belli adlandırma kurallarını kabul eden tüm parametreleri tanımlayın (add,get,remove vs)
  2. Varsa kullanılabilir API arayüzlerini gönderen listeyelen bir metot arayın. Yoksa diğer çağrıları tahmin etmeye çalışın.
  3. Arama motoru vs araştırmasıyla bulunan bütün çağrı yöntemlerini farklı kullanıcı yetkileriyle erişmeye çalışın.
  4. Eğer gerekli parametreleri bilmiyorsanız daha az parametre alan getAllUsersInRoles. gibi metotlara erişmeye çalışın.

Bazı durumlarda statik dosyalara doğrudan erişim sağlanabilir bunların da tespit edilmesi gerekir.

Hack Adımları

  1. Normal bir şekilde tüm URL’leri gezip bulabildiğiniz tüm statik urlleri toplamaya çalışın.
  2. Daha az yetki sahibi bir kullanıcıyla bu kaynaklara erişmeye çalışın.
  3. Eğer erişim varsa bu kaynakların isimlendirmesindeki şablonları tespit etmeye çalışın ve bu şablonlarla diğer kaynaklara da erişmeye çalışın.

HTTP yöntemleri üzerine testler yapmak için :

Hack Adımları

  1. Yüksek ayrıcalıklı bir hesap kullanarak, yeni bir kullanıcı eklemek veya bir kullanıcının güvenlik rolünü değiştirmek gibi hassas eylemler gerçekleştiren bazı ayrıcalıklı istekleri belirleyin
  2. Eğer bir AntiCSRF koruması yoksa farklı HTTP metotları göndererek işlemin yapılıp yapılmadığını test edin.
  3. POST,GET,HEAD ve diğer metotları deneyin
  4. Uygulama diğer istek türlerine cevap veriyorsa düşük ayrıcalıklı kullanıcılarla tekrar deneyip cevap verip vermediğini test edin.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.