Web for Pentester 2 – Authentication çözümleri

Web for Pentester 2 – Authentication çözümleri

Örnek 1:

İlk örnek olmasından ötürü kolay bir bölüm olacağını düşündüm ve hemen kullanıcı adı ve şifreyi admin olarak denedim ve bölümü atladım.

Örnek 2:

 

Örnek 3:

Sistemin verdiği kullanıcı adı ve şifreyi kullanarak giriş yapıyoruz.Mozilla firefox eklentisi olan cookies manager+ kullanarak elimizdeki cookie değerine bakıyoruz.

web for pentester2

user1 yani kullanıcı adımız,çıkış yapıp cookie değerini admin olarak değiştirip kaydediyoruz.Sayfayı yenilediğimizde admin olarak giriş yapmış olacağız.

Örnek 4:

Bir önceki örnekteki adımları tekrar uyguluyoruz.

web for pentester2 - 1

Bu sefer cookie değerleri md5 ile şifrelenmiş. www.md5online.org sitesine veya herhangi bir md5 çözücü siteye girip şifrelenmiş ifadeyi çözüyoruz.

md5

Şifrenin çözülmüş hali “user1”.Yani tekrar kullanıcı adımız cookie olarak kullanıyor fakat md5 ile şifrelendikten sonra.O zaman “admin” kullanıcı adınız md5 ile şifreleyelim ve cookie değerimizi onunla değiştirelim.

“admin” = 21232f297a57a5a743894a0e4a801fc3

Örnek 5:

Tekrar admin olarak giriş yapmamız isteniyor.Hemen kayıt sayfasına gidip admin olarak kayıt olmaya çalışalım.

Error: user already exists

Yukarıdaki hatayı alıyoruz.Demek ki admin diye bir kullanıcı adı zaten oluşturulmuş.Veritabanına büyük küçük harf duyarlılığını ekleyip eklemediğini kontrol edelim.

aDmin diye bir kullanıcı oluşturalım ve bu bölümü de atlayalım.

Örnek 6:

Tekrar kayıt olma sayfasına gidiyoruz ve yukarıdaki gibi büyük küçük harf duyarlılığını test ediyoruz.Bu sefer gerekli önlem alınmış.Farklı bir yöntem deniyoruz.

Mysql deki sondaki boşlukları silip silmediğini kontrol edelim.

admin + (boşluk) diye bir kayıt oluşturalım ve bölümü tamamlayalım.

İlk Yorumu Siz Yapın

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir