Diğer Web Hileleri

Reading time: 3 minutes

Host başlığı

Birçok kez arka uç, bazı işlemleri gerçekleştirmek için Host başlığına güvenir. Örneğin, bu değeri şifre sıfırlama için kullanılacak alan adı olarak kullanabilir. Yani, şifrenizi sıfırlamak için bir bağlantı içeren bir e-posta aldığınızda, kullanılan alan adı Host başlığında belirttiğiniz alandır. Ardından, diğer kullanıcıların şifre sıfırlama taleplerini yapabilir ve alan adını kontrolünüzde olan bir alan adıyla değiştirerek şifre sıfırlama kodlarını çalabilirsiniz. WriteUp.

Oturum boolean'ları

Bazen bazı doğrulamaları doğru bir şekilde tamamladığınızda arka uç, oturumunuza bir güvenlik niteliğine "True" değeriyle bir boolean ekler. Ardından, farklı bir uç nokta bu kontrolü başarıyla geçip geçmediğinizi bilecektir.
Ancak, eğer kontrolden geçerseniz ve oturumunuza güvenlik niteliğinde "True" değeri verilirse, erişim izniniz olmaması gereken ancak aynı niteliğe bağlı olan diğer kaynaklara erişmeyi deneyebilirsiniz. WriteUp.

Kayıt işlevselliği

Zaten mevcut bir kullanıcı olarak kaydolmayı deneyin. Ayrıca eşdeğer karakterler (nokta, çok sayıda boşluk ve Unicode) kullanmayı da deneyin.

E-postaları ele geçirme

Bir e-posta kaydedin, onaylamadan önce e-postayı değiştirin, ardından, yeni onay e-postası ilk kaydedilen e-postaya gönderilirse, herhangi bir e-postayı ele geçirebilirsiniz. Ya da ikinci e-postayı birincisini onaylayacak şekilde etkinleştirebilirseniz, herhangi bir hesabı da ele geçirebilirsiniz.

Atlassian kullanarak şirketlerin İç Servis Masasına Erişim

Jira Service Management

TRACE yöntemi

Geliştiriciler, üretim ortamında çeşitli hata ayıklama seçeneklerini devre dışı bırakmayı unutabilir. Örneğin, HTTP TRACE yöntemi tanısal amaçlar için tasarlanmıştır. Eğer etkinse, web sunucusu TRACE yöntemini kullanan isteklere, alınan isteği yanıtında yankılayarak yanıt verir. Bu davranış genellikle zararsızdır, ancak bazen, ters proxy'ler tarafından isteklere eklenebilecek dahili kimlik doğrulama başlıklarının adları gibi bilgi ifşasına yol açabilir.