Sıkılmamanız için güzel bir şarkı öneriyorum
Broken Access Control Nedir ?
Broken access control, bilgisayar sistemlerinde ve yazılımlarda bulunan ciddi bir güvenlik açığıdır. Türkçe karşılığı "bozuk erişim kontrolü"dür.Broken Access Control Nedir ?
Normalde erişim kontrolü, bir sistemin yalnızca yetkili kullanıcıların belirli kaynaklara (dosyalar, veriler, işlevler) erişmesine izin vermesi için vardır. Broken access control ise bu erişim kontrolünün hatalı konfigüre edilmesinden veya eksik uygulanmasından kaynaklanır. Bu durumda, yetkisiz kullanıcılar sisteme erişebilir veya normalde erişim izni olmayan kaynaklara ulaşabilirler.
Broken access control açığını daha iyi anlayabilmek için erişim kontrolünün farklı türlerini bilmek gerekir:
Örneklendirelim
elimizde web sayfası olduğunu düşünelim bu web sayfasında 3 kişi olduğunu düşünelim bunlar
elimizde web sayfası olduğunu düşünelim bu web sayfasında 3 kişi olduğunu düşünelim bunlar
| Nur | Veli | Burak |
bu üçününde ayrı kulanıcı adı ve Şifresi olduğunu var sayalım, Eğer biz veli olarak giriş yaparsak sadece velinin verilerini görmüş oluruz Peki Access control güvenli ayarlanmamışsa Ben (Nur'un) hesabınada girebilirim (Burak) hesabınada girebilirim, Girmekle kalmayıp bilgilerinide değiştirebilirim.
Sandbox ortamında deniyelim
Hemen makinemize bağlanıp ipisini url kısmına yazalım ve giriş bilgilerini yazalım
burası not server yani notlarımızı buraya tutabiliriz
sistemde broken access control zafiyetini olduğunu biliyoruz gelin bunu nasıl kulancağımıza bakalım, url kısmında (?note_id=1) yazıyor
note id 1 olan yeri görüyoruz peki biz bunu 2,3,4,5 olarak değiştirsek ne olur
note_id=2 yaptım farklı bir note karşıladı bizi
3 bakıyorum bize bunu görmememiz gerektiğini söylüyor ve evet broken access control bu şekilde eğer biz bu bilgileri değiştiremiyorsak idor zafiyeti sayesinde onuda yapabiliriz
