Yetki Yükseltimi Testleri

BGA Security Wiki sitesinden

Şuraya atla: kullan, ara

Amaç:

Yetkisiz bir hesapla yetki gerektiren işlemler yapmak.

Araçlar:

Burp Suite

Adımlar:

Hedef sisteme yetkisiz bir hesapla giriş yapılır ve normalde hesabın yapmaya yetkisi olmayan bir işlem yapılmaya veya bir sayfaya erişilmeye çalışılır.

Bu sırada sunucuya gönderilen istek Burp Suite ile kesilir ve gönderilen değerler incelenir. Örneğin sunucuya “usertoken=12323&usertype=guest” gibi bir veri gidiyorsa buradaki “usertype=admin” gibi değiştirilerek gönderilip bu sayede uygulama kandırılarak yetkisiz işlem yapmanın mümkün olup olmadığı gözlenir.

Kaynak:

Testing for Privilege escalation (OTG-AUTHZ-004)

"https://wiki.bgasecurity.com/index.php?title=Yetki_Yükseltimi_Testleri&oldid=583" adresinden alındı.

Web Uygulama Güvenlik Testleri Kontrol Listesi