Kaynak kodlarında ki bazı kod öbeklerinde değişiklik yaparak tekrar erişebildiğimi farkettim.
Uzun bir incelemeye alarak kim bilir daha neler çıkacak.
Bu kısmı daha önce bu açıktan haberdar olmayanlar için anlatıyorum.
Öncelikle http://otomasyon1.firat.edu.tr adresinden otomasyona giriş yaptıktan sonra
f12 tuşuna basarak Geliştirici Aracı'mızı açıyoruz.
( Otomasyon'a sadece internet explorer ile giriş yapılabiliyor.Benim gibi mozilla firefox taraftarları içinde user agent switcher eklentisiyle fü öğrenci işleri otomasyonuna firefox'dan girebilirsiniz.-)
Geliştirici aracımızı açtıktan sonra sırasıyla
<html>
<body bgProperties="fixed" bgColor="#d3e4e5" onload="flushing();">
<center>
<form name="Form1" method="post">
<input name="Numara" type="hidden" value="xxxxxxxx">
xxxxxxxx yazan yerde kendi okul numaranız yazıyor.Bu kısmı değiştirerek notlarını öğrenmek istediğiniz kişinin numarasını yazıyorsunuz.
Buraya kadar zaten bilinen şeylerdi.Asıl olayımız şu kod parçacığında.
<input name="UserType" type="hidden" value="3">
Buradan da value "1" yapıyoruz ve gerekli erişimi sağlıyoruz.
Umarım en yakın zamanda otomasyon'u değiştirirler.
3 yorum:
Malesef günümüzdeki bilişim çalışanları sanırım çok çalışıp uykusuz kalarak böyle ufak ama etkili güvelik açıkları vermektedir...Umarım devletimiz daha iyi eğitimli arkadaşları aralarına alır.
Insecure Direct Object Reference :)
@Canberk Bolat teşekkürler efenim,
Yorum Gönder