Web Güvenliği’nin en eğlenceli ve vazgeçilmez kısımlarından biri de Erişim Kontrolü Zafiyetleridir.Port Swigger bu zafiyeti anlatırken yine çok güzel iş çıkarıp,çeşitli teknikleri hem anlatıp hem uygulamaya dökmüş.Hem okuma hem uygulama sayfası; https://portswigger.net/web-security/access-control
1. Laboratuvar örneğimizi çözümlendirelim; https://portswigger.net/web-security/access-control/lab-unprotected-admin-functionality
Benim zafiyetli URL’im https://aca21f591f0dcdaf80bb1b83005a0024.web-security-academy.net/
Sizde giriş yaptığınız zaman ilk kontrol edeceğiniz şey /admin , /administrator gibi kelimeler olabilir fakat admin dizinini dolaylı bir yoldan bulmayı gerektiren bir ortam.Lab ortamının açıklamasını okuduysak öyleyse robots.txt dizinini kontrol edelim.
Admin dizinimiz ortaya çıktı ayrıca robots.txt’de disallow edilmiş.Peki bu ne anlama geliyor,admin dizinimiz neden burada ortaya çıktı ve disallow ?
Robots.txt özeti ; Google,Yandex,Baidu,DuckDuckGo gibi arama motorlarının web sitelerini ziyaret edip indexlemesi için (Google’da herhangi bir arama yaptığınız zaman önünüze herhangi bir site çıkıyorsa o site Google’da indexlidir) spider-botları vardır.Robots.txt de ise birkaç kural yazarak bu botların,tanımladığımız sayfa veya dizinlerin arama motorunda görünmesine engel olmaktır ama kullanıcılar tarafından erişilebilir mi ? Evet.
Konumuza geri dönecek olursak Admin Panelimizi bulduğumuza göre erişiyoruz ve carlos adlı kullanıcıyı siliyoruz.Lab ortamımız çözülmüş oluyor.
https://aca21f591f0dcdaf80bb1b83005a0024.web-security-academy.net/administrator-panel
English
Arabic
Chinese (Simplified)
Dutch
French
German
Italian
Portuguese
Russian
Spanish
Turkish