Broken Access Control IDOR | OWASP Top 10 - 2021 | #1

Watnea · 4 Eki 2025

Selamün aleyküm dostlar, ben Watnea.

Siteye yeni gelen kardeşlerimize hoş geldin hediyesi olarak CTF ile tanıştırmak istedim. Web pentest konuları çok açılıyordu, bugün TryHackMe sitesinde bulunan OWASP TOP 10 - 2021 CTF makinesinin 1 ve 2 Broken Access Control IDOR zafiyetini öğreteceğim.

CTF

Zafiyeti açıklayalım: IDOR
Normalde göremeyeceğimiz kaynaklara erişebildiğimiz bir erişim kontrolü güvenlik açığını ifade eder.

Örnek: Banka hesabınıza giriş yaptınız ve URL: id=12, ama siz id=13 yapınca site yanlış yapılandırıldıysa eğer başka hesabın banka bilgilerini görebiliyorsunuz. Bu zafiyet IDOR zafiyetidir.

> TryHackMe VPN olarak bağlanıyoruz.
Settings > Access via OpenVPN kısmından VPN dosyanızı indirin.

cd downloads
openvpn nick.ovpn

> Makineyi başlatıyoruz ve IP adresimizi alıyoruz.
http://10.10.102.187/

USERNAME: noot
PASSWORD: test1234

Karşımızda not defteri var ve bizim noot kullanıcısının notları market siparişi yazmış. Şimdi işin inceliğine gelelim.

http://10.10.102.187/note.php?note_id=1
id=1, biz eğer 2 yaparsak ne olur?

Farklı userin notlarını buldum, hem de giriş yapmadan

http://10.10.102.187/note.php?note_id=0
0 yaparak flag alabilir ve CTF çözebilirsiniz.

Seri devam edecek, tüm zafiyetleri ele alacağız.
Bendeniz Watnea, iyi forumlar.

ATK · 4 Eki 2025

Elinize Sağlık...

Baybars0720 · 5 Eki 2025

Eline sağlık

Neoax · 5 Eki 2025

Elinize sağlık.

Watnea · 5 Eki 2025

ATK' Alıntı:
Elinize Sağlık...

Baybars0720' Alıntı:
Eline sağlık

Neoax' Alıntı:
Elinize sağlık.

Teşekkür ederim.

ECHO VERSE · 5 Eki 2025

Watnea' Alıntı:
Selamün aleyküm dostlar, ben Watnea.

Siteye yeni gelen kardeşlerimize hoş geldin hediyesi olarak CTF ile tanıştırmak istedim. Web pentest konuları çok açılıyordu, bugün TryHackMe sitesinde bulunan OWASP TOP 10 - 2021 CTF makinesinin 1 ve 2 Broken Access Control IDOR zafiyetini öğreteceğim.

CTF

Zafiyeti açıklayalım: IDOR
Normalde göremeyeceğimiz kaynaklara erişebildiğimiz bir erişim kontrolü güvenlik açığını ifade eder.

Örnek: Banka hesabınıza giriş yaptınız ve URL: id=12, ama siz id=13 yapınca site yanlış yapılandırıldıysa eğer başka hesabın banka bilgilerini görebiliyorsunuz. Bu zafiyet IDOR zafiyetidir.

> TryHackMe VPN olarak bağlanıyoruz.
Settings > Access via OpenVPN kısmından VPN dosyanızı indirin.

cd downloads
openvpn nick.ovpn

> Makineyi başlatıyoruz ve IP adresimizi alıyoruz.
http://10.10.102.187/

USERNAME: noot
PASSWORD: test1234

Karşımızda not defteri var ve bizim noot kullanıcısının notları market siparişi yazmış. Şimdi işin inceliğine gelelim.

http://10.10.102.187/note.php?note_id=1
id=1, biz eğer 2 yaparsak ne olur?

Farklı userin notlarını buldum, hem de giriş yapmadan

http://10.10.102.187/note.php?note_id=0
0 yaparak flag alabilir ve CTF çözebilirsiniz.

Seri devam edecek, tüm zafiyetleri ele alacağız.
Bendeniz Watnea, iyi forumlar.

Bayağı iyi konu olmuş hocam elinize sağlık

Watnea · 5 Eki 2025

SPERMan...' Alıntı:
Bayağı iyi konu olmuş hocam elinize sağlık

Teşekkürler

+ Devam etmesi işinize yarar mı?, İzlediğiniz yol dolayısıyla faydalı mı?

Broken Access Control IDOR | OWASP Top 10 - 2021 | #1

Watnea

Uzman üye

ATK

Moderasyon Ekibi Stajyer Asistan

Baybars0720

Katılımcı Üye

Neoax

Katılımcı Üye

Watnea

Uzman üye

ECHO VERSE

Katılımcı Üye

Watnea

Uzman üye

Sosyal medya sayfalarımız