Ders 21 - Authentication Flaws > Forgot Password | |||||
Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin ikinci dersi olan
Forgot Password(Unutulan Şifre) dersinde unutulan şifre sayfasının nasıl exploit edilebileceğinden, yani sömürülebilineceğinden bahsedilecektir.
Dersin HedefiKullanıcılar eğer şifrelerini unuturlarsa tekrar elde edebilsinler diye gizli soru uygulaması mevcuttur. Gizli soruyu doğru cevaplayan kullanıcıya şifresi gösterilmektedir. Bu ders ekranında da böylesi bir senaryo vardır. Örnek verilmesi gerekirse kullanıcı adı webgoat olan ve gizli sorusunun cevabı red olan bir hesabın şifresini bu ders ekranından elde edebilirsiniz. Hedefiniz bu kullanıcı dışındaki bir kullanıcının şifresini öğrenmeye çalışmaktır.Dersin Çözümüİlk olarak deneme amaçlı webgoat kullanıcısını ele alalım. Ders ekranındaki metin kutusuna kullanıcı adı olan webgoat string'ini girelim. Formun butonuna tıklayarak form'u submit'leyelim. Ardından secret question diye adlandırılan gizli soruya cevap olan red string'ini metin kutusuna girelim ve formu tekrar submit'leyelim. Böylece webgoat adlı kullanıcının şifresini elde etmiş oluruz.Şimdi ise başka bir kullanıcının şifresini aynı methodla, yani gizli soruya cevap vererek öğrenmeye çalışalım. Bize bir kullanıcı adı lazım. Hemen hemen çoğu sitede yöneticiye ait hesabın kullanıcı adları bildiğiniz üzere aynıdır: admin. admin kullanıcısının kullanıcı adını metin kutusuna girin ve form'u submit'leyin. Ekrana gizli soru yansıyacaktır: "What is your favorite color?". Yani "favori renginiz nedir?" Gizli soru gördüğünüz üzere deneme yanılma ile cevaplanmaya çok müsait durumda. Sırasıyla denenecek renk isimleri ile admin hesabının şifresini elde edebiliriz. Gizli soru için green cevabını verin ve form'u submit'leyin. Böylece admin'in şifresini öğrenmiş olup dersi tamamlamış olursunuz. Sonuç Bu dersin bize öğrettiği şey bir web sitesinin kullanıcıları için sunduğu şifre kurtarma(gizli soru) uygulamasında şifreyi eposta yoluyla vermesi gerektiğidir. Eğer bu derste olduğu gibi şifre web sitesi üzerinden verilirse kötü niyetli kimseler deneme yanılma ile bir başkasının şifresini öğrenebilirler. Hele ki cevap seçenekleri dar olan böylesi gizli sorulara karşın... Dolayısıyla gizli soru uygulaması eposta ile birarada kullanılmalıdır. |
|||||
Bu yazı 01.09.2015 tarihinde, saat 09:51:11'de yazılmıştır. 23.09.2015 tarihi ve 15:56:40 saatinde ise güncellenmiştir. | |||||
|
|||||
Yorumlar |
|||||
Henüz yorum girilmemiştir. | |||||
Yorum Ekle | |||||