Parola Hatırlatma ve Parola Sıfırlama Özelliklerinin Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Hedef uygulamanın parola hatırlatma/sıfırlama özelliklerini olası zafiyetler için test etmek.

Araç:

  • Firefox 22

Adım:

Web uygulamalarının parola hatırlatma bölümleri bazı mantık hatalarına karşı hassastırlar. Örneğin geçerli bir hesap için istenen parola sıfırlama linkindeki üyeid’si benzeri alanlar değiştirilerek kullanıcıların şifrelerinin sıfırlanabilmesi. Başka bir örnek de, şifresi bilinmeden başka bir zafiyet aracılığıyla erişim sağlanan bir hesabın şifresini değiştirmek için eski şifre sorulması beklenir. Ancak mail adresini değiştirmek için eski şifre sorulmuyorsa önce mail adresi değiştirilip daha sonra bir şifre sıfırlama maili istenilebilir. Bu sayede eski şifre bilinmeden, hesaba yeni şifre atanmış olur. Benzer mantıkla senaryolar çeşitlendirilebilir.

Kaynak:[değiştir]

  • Hacking Exposed Web Applicaitons 3th