Web for Pentester 2 – Authentication çözümleri
Örnek 1:
İlk örnek olmasından ötürü kolay bir bölüm olacağını düşündüm ve hemen kullanıcı adı ve şifreyi admin olarak denedim ve bölümü atladım.
Örnek 2:
Örnek 3:
Sistemin verdiği kullanıcı adı ve şifreyi kullanarak giriş yapıyoruz.Mozilla firefox eklentisi olan cookies manager+ kullanarak elimizdeki cookie değerine bakıyoruz.
user1 yani kullanıcı adımız,çıkış yapıp cookie değerini admin olarak değiştirip kaydediyoruz.Sayfayı yenilediğimizde admin olarak giriş yapmış olacağız.
Örnek 4:
Bir önceki örnekteki adımları tekrar uyguluyoruz.
Bu sefer cookie değerleri md5 ile şifrelenmiş. www.md5online.org sitesine veya herhangi bir md5 çözücü siteye girip şifrelenmiş ifadeyi çözüyoruz.
Şifrenin çözülmüş hali “user1”.Yani tekrar kullanıcı adımız cookie olarak kullanıyor fakat md5 ile şifrelendikten sonra.O zaman “admin” kullanıcı adınız md5 ile şifreleyelim ve cookie değerimizi onunla değiştirelim.
“admin” = 21232f297a57a5a743894a0e4a801fc3
Örnek 5:
Tekrar admin olarak giriş yapmamız isteniyor.Hemen kayıt sayfasına gidip admin olarak kayıt olmaya çalışalım.
Error: user already exists
Yukarıdaki hatayı alıyoruz.Demek ki admin diye bir kullanıcı adı zaten oluşturulmuş.Veritabanına büyük küçük harf duyarlılığını ekleyip eklemediğini kontrol edelim.
aDmin diye bir kullanıcı oluşturalım ve bu bölümü de atlayalım.
Örnek 6:
Tekrar kayıt olma sayfasına gidiyoruz ve yukarıdaki gibi büyük küçük harf duyarlılığını test ediyoruz.Bu sefer gerekli önlem alınmış.Farklı bir yöntem deniyoruz.
Mysql deki sondaki boşlukları silip silmediğini kontrol edelim.
admin + (boşluk) diye bir kayıt oluşturalım ve bölümü tamamlayalım.
Teşekkürler ellerinize sağlık