İstemci Tarafı Güvenlik Korumalarını Aşma - HTML Form

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

İstemci Tarafı Güvenlik Korumalarını Aşma - HTML Form

Lab Senaryosu:

En fazla, 20 karakter girilmesine izin veren bir “Textarea” nesnesi içeren “HTML Formu” ve bu form ile gönderilen değeri ekrana basan, sunucu tabanlı bir script.

Araç:

  • Burp Suite Free 1.5


Adımlar:

  • Hedef sayfaya bağlanılır ve formun girdi alanlarındaki en uzun/kısa karakter sayısı, sadece sayısal değer alma gibi, kısıtlamalar tespit edilir. Örnekte, formun “Textarea” nesnesine maxlength="20" özelliği atanarak, 20 karakterden fazla yazılması engellenmiştir. Bu durumda, tarayıcıya proxy olarak Burp Suite’in dinlediği adres ve port verilip, form 20 veya daha az karakterle gönderilir.

22091.png

  • Burp suite’in “Proxy” sekmesinin “Params” alt sekmesinden, istenilen parametrelerin değerleri, kısıtlama olmaksızın değiştirilip Forward butonuna basarak sunucuya yollanır.

22092.png