Bazen bir şirket için gelir elde etmek amacıyla tasarlanan yeni özellikler aceleye getirilebilir ve bazen bu yeni özelliğin ana web uygulamasına güvenli bir şekilde nasıl uygulanacağı konusunda yeterince düşünülmeyebilir. Bu genellikle ne anlama geliyor? Hatalar! Şirket ne kadar büyük olursa, yol haritasında o kadar çok ürün planlanır. İş yükü arttıkça yapılan hatalar da artıyor.
Yeni bir özellik, kimlik doğrulamayı çok kolay bir şekilde atlamamı nasıl sağladı?
Bu, yeni özellikler sayesinde belirli tanımlama süreçlerini atlamamı sağlayan bir programda bulduğum ilginç bir hatadır. Söz konusu web sitesi, şirketin sayfasının sahibi olduğunu iddia etmek için kullanıcıların kimliklerini doğrulamasını gerektiriyordu ve açıkçası süreç oldukça basit ve anlaşılırdı. Fazla bir şey yoktu ve ilk testlerimden itibaren oldukça güvenli görünüyordu. Kimliğimi yüklerken ilginç bir şey yoktu ve bir şirketin yönetici haklarına ulaşmanın bir yolunu bulamadım. Uzun bir süre bu özelliği test etmekten vazgeçtim.
~Yeni bir özellik girin~
Sayfa sahiplerinin reklam yayınlamasına olanak tanıyan yeni bir özellik getirildi. Haydi oynamaya başlayalım.
Hemen fark ettim bir büyük sorun ve gerçek buydu herhangi biri herhangi bir şirket için reklam satın alabilir. Öncelikle bu şirkete üye olmamı gerektirmiyordu, açılır kutudan dilediğim şirketi seçebiliyordum. Ancak işler çok çabuk kötüye gitti. Seçtiğim şirket için reklam satın aldıktan sonra şirketin mülkiyeti bana verildi. Bekle, gerçekten mi? Ne?! Bu daha da kötüleşebilir mi?
Ah evet… olabilir. ikinci En büyük sorun, Sandbox CC ayrıntılarının reklam satın alırken işe yaramasıydı. (4111 1111 1111 1111). Bu, bir saldırganın istediği herhangi bir şirketin sayfasını seçebileceği, korumalı alan CC numarasını kullanarak reklam satın alabileceği ve aniden sıfır maliyetle yönetici haklarına sahip olabileceği anlamına gelir. Kolay değil mi? Yönetici haklarını aldıktan sonra her şeye erişebildim. Sayfayı düzenleyin veya kaldırın, diğer yöneticileri kaldırın, bilgilerine göz atın vb.
Sean, bunu doğru mu okuyorum? Bu kadar basit mi?
Evet! Şirkete gelir kazandırmak için tasarlanmış yeni bir özellik tüm kimlik belirleme sürecini baltaladı ve korumalı alan CC kullanarak reklam satın alarak herhangi bir sayfanın sahipliğini talep etmeme izin verdi. (Reklamlar hâlâ yayınlanmaya devam ediyordu hahaha!).
Sandbox CC testi başarısız olsaydı ne olacağını görmek için yine de gerçek bir CC ile devam ederdim, çünkü denemezseniz bunu nasıl bileceksiniz? (maliyet düşük olduğu sürece!). Kimliğimi bile kanıtlamadan bir şirket için reklam satın alma sürecine başlamamı sağlaması merakımı uyandırdı.
Geliştiriciler.. işleri aceleye getirmeyin! Yeni özellikleri uygularken bunu iyice düşünün.
Ve bilgisayar korsanları… her zaman yeni özelliklere dikkat edin. Onları Twitter’da takip ettiğinizden, haftalık haberlere göz attığınızdan ve yayınlamayı planladıkları şeylerle ilgili güncel bilgilere sahip olduğunuzdan emin olun. Ayrıca web sitelerindeki özellikleri test ederken bir miktar $$ harcamaktan korkmayın, sadece LOADS harcamayın. Ayrıca sadece BB işlemleri için kullanılan ayrı bir kart öneririm.
~zseano