Yetki Yükseltimi Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Yetkisiz bir hesapla yetki gerektiren işlemler yapmak.

Araçlar:

  • Burp Suite

Adımlar:

  • Hedef sisteme yetkisiz bir hesapla giriş yapılır ve normalde hesabın yapmaya yetkisi olmayan bir işlem yapılmaya veya bir sayfaya erişilmeye çalışılır.
  • Bu sırada sunucuya gönderilen istek Burp Suite ile kesilir ve gönderilen değerler incelenir. Örneğin sunucuya “usertoken=12323&usertype=guest” gibi bir veri gidiyorsa buradaki “usertype=admin” gibi değiştirilerek gönderilip bu sayede uygulama kandırılarak yetkisiz işlem yapmanın mümkün olup olmadığı gözlenir.

Kaynak:[değiştir]