Ders 8 - Role Based Access Control > Stage 3

Access Control Flaws ünitesinin LAB: Role Based Access Control(Role Dayalı Erişim Kontrolü) dersinin üçüncü alt başlığı olan Stage 3: Breaking Data Layer Access Control dersinde bir personelin sadece kendi profilini görüntüleyebilme yetkisi varken başka personelin profilini de yetkisiz bir şekilde görüntüleyebiliyor olması ele alınacaktır.

Dersin Hedefi

Hedefiniz personel Tom olarak kendi profiliniz dışında başka personelin profilini de görüntüleyebilmektir, yani erişim kontrolü zayıflığından faydalanmaktır. Yetkisiz olarak yapılan bu görüntülemeyi gerçekleştiriniz.

Açıklamalar

HTML sayfalarında sunucu ile kullanıcı etkileşimli bazı noktalar vardır. Bunlardan birisi form etiketi bloğudur. Karşılaşmışsınızdır, web sayfalarında bazen form'lar yer alır. Kullanıcı formu doldurur ve göndermek için bir butona tıklar. Butona tıklayarak girilen verileri sunucuya göndermiş olur. İşin arkaplanında forma girilen veriler sistemimize inen değişkenlere eklenir. Bu değişkenler butonun tıklanması ile sunucuya gider ve sunucu bu değişkenleri kullanır. Fakat, bazen bazı değişkenler hazır vaziyette, yani bir değere sahip olarak istemciye gelirler. Biz doldurmayız. Bu durum genelde kod bazında görülürken arayüzde görünmez. Bu hazır vaziyette gelen değişkenleri kaynak kodu görüntüle deyip elimizle manipule edersek ve ilgili buton tıklaması ile sunucuya gönderirsek bir tür saldırı gerçekleştirmiş oluruz. Bu derste bu methodla bir yetki aşma teşebbüsünde, yani bir yetki ihlalinde bulunacağız. Ne dediğimi, neyi kastettiğimi Dersin Çözümü başlığı altında pratik olarak uygulayarak daha iyi anlayacaksınız.

Son olarak derste kullanacağımız html kodları olan <select> ve <option> ilişkisinden bahsedelim. <select> etiketi <option> etiketinin parent'ıdır. Yani <select>, <option>'ı barındırır. Bunu bir örnek üzerinde inceleyelim Şöyle ki :

Yukarıdaki kod aşağıdaki gibi bir comboBox gösterilmesini sağlar:

comboBox'tan seçeceğiniz bir personel'in value'su degisken adlı değişkene atanır. Mesela Tom Cat'i seçtiniz diyelim. Form'u tetikleyecek bir butona tıklanıldığında değişken, tuttuğu değer ile beraber sunucuya gidecektir(degisken = tom).

Dersin Çözümü

Ders ekranındaki sistemden Tom kullanıcısını seçin ve şifre olarak da küçük harfler ile tom yazısını girin. Böylelikle kontrol paneline girmiş olursunuz. Normal bir personel kontrol paneline girdiğinde ekrandaki butonlardan mesela ViewProfile butonuna tıklayıp profiline gidebilir. Biz bu derste bu buton ve gönderdiği değişken değerini kullanarak başka bir profil görüntülemeye çalışacağız. Şimdi açılan kontrol panelinde yer alan staff list'e yönelin. Göreceğiniz üzere o listede sadece personelin kendi ismi yer almaktadır. Buradan anlayacağınız üzere personel normalde sadece listede yer alan kişi üzerinde, yani kendi üzerinde ViewProfile işlevini gerçekleştirebilir. Biraz sorunlu bir tasarım izlenimi veriyor, çünkü bu listeye ne gerek var diyebilirsiniz. Fakat eğer [admin] grubundaki bir kullanıcı ile kontrol paneline girerseniz bu personel listesinin ne işlevi var olduğunu o zaman anlarsınız. Mesela yönetici John Wayne ile oturum açtığınızda personel listesinde tüm personelin sıralandığını görürsünüz. Böylelikle yönetici John, tüm personelinin bilgisine erişebilme imkanına sahip olur. Bu durumda diyebilirsiniz ki "o zaman sadece yöneticilerde personel listesi görünsün, geri kalanda görünmesin". Bu biraz tasarımla alakalı bir durumdur. Tasarlayanlar böyle tasarlamışlar deyip keselim ve ders çözümüne dönelim. Tom Cat olarak oturum açtığınızda staff's list'teki(personel listesindeki) Tom Cat (employee) kişisine sağ tıklayın ve Inspect Element(Öğeyi Denetle) seçeneğine tıklayın. Açılan web geliştiricisi araç kutusunda aşağıda da görebileceğiniz üzere bir satır seçili vaziyette gelecektir.

Seçili vaziyetteki satır sağ tıkladığınız nesneye ait kodu ifade eder(Kısaltılmış kodun tam halini seçili satırın başındaki üçgene basarak görebilirsiniz). <option> etiketi <select> etiketinin arasında yer alan bir elemanı temsil eder. O eleman ise Tom Cat (employee)'dir. Nesnenin değişkeni, employee_id, ebeveyn etiket olan <select>'te yer alır. Bu değişkene atanan değer ise seçili satırdaki value'nun değeridir: 105. Yani demek ki 105 değeri employee_id değişkenine eklenip sunucuya gidiyor ve sunucudan 105 değerine uygun profil bilgileri bize gönderiliyor. O zaman 105 yerine mesela 104 yazarsak başka profil bilgisi gelir mi dersiniz? Eğer görüntüleme yetkisi için sunucu taraflı bir önlem alınmamışsa, evet başka profil bilgisi gelir. Hatırlarsanız Açıklamalar başlığında hazır vaziyette gelen değişkenlerden bahsetmiştik. İşte employee_id odur. Şimdi web geliştiricisi aracından employee_id'nin değerini depolayan value özelliğinin değerine çift tıklayın ve 105 değerini silip yerine 104 değerini yazın ve enter'layın. Ardından ders ekranına yönelin ve ViewProfile butonuna tıklayın. Böylece elle girilen 104 verisi sunucuya gider ve sunucudan 104 nolu profil bilgisi, yani başkasının profil bilgisi döndürülmüş olur. Böylelikle dersi başarıyla tamamlamış olursunuz.

Normalde diğer personellerin bilgilerine sadece [admin] grubundaki yöneticiler erişebilir. Fakat yukarıdaki resimde de görebileceğiniz üzere personel Tom'ın profilinde katakulli yollarla personel Eric'in bilgileri görüntülenmektedir.

NOT: Web geliştiricisi aracı üzerinden değişken değerini manipule edebildiğimiz gibi aynı işlemi WebScarab ile de yapabiliriz. Bundan önceki derslerde(bkz. Ders 2 - General > Http Basics) bu tip manipulasyonların WebScarab ile nasıl gerçekleştirildiğinden bahsedildiği için burada değinilmemiştir.

Bu yazı 10.05.2015 tarihinde, saat 13:29:24'de yazılmıştır. 23.09.2015 tarihi ve 10:36:27 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 1782

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama
	->	Siber Güvenlikte Düşük Seviye Açıklık Nedir
	->	Haberleşme Teknolojisi
	->	Oyun Motoru Nedir
	->	Arp Spoofing İlave Uygulamalar

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak () ► Şubat () ► Mart () ► Nisan () ► Mayıs () ► Haziran () ► Temmuz () ► Ağustos () ► Eylül () ► Ekim () ► Kasım () ► Aralık () ▼ 2024

#Giriş

	ID	:
	Şifre	: