🖥️
Siber Güvenlik Notları
  • WHOAMI
    • 👨‍💻Who Am I?
  • 🔭Information Gathering
    • Pentest Makinası Kurulumu
    • Passive Information Gathering
    • Subdomain Enumeration
    • Host Discovery
    • Port Scanning
    • Email Enumeration
    • Leaked Passwords
    • Zafiyet Araştırma
  • 🪟Windows Pentesting
    • Windows Privilege Escalation
    • Windows Persistence
    • Windows Lateral Movement
    • AV Evasion
  • 🐧Linux Pentesting
    • Linux Privilege Escalation
    • Linux Persistence
    • Linux Lateral Movement
  • 🕸️Web Application Pentesting
    • ✅Cross-Site Scripting
    • ✅Information Disclosure
    • ✅Configuration and Deployment Management Testing
    • ✅Broken Authentication
    • ✅Broken Access Control
    • ✅OAuth Zafiyetleri
    • ✅JWT
    • ✅HTTP Parameter Pollution
    • ✅SQL Injection
    • ✅NoSQL Injection
    • ✅XXE Injection
    • ✅File Inclusion & Path Traversal
    • ✅OS Command Injection
    • ❌HTTP Request Smuggling
    • ✅Host Header Attack
    • ✅SSTI
    • ✅SSRF
    • ❌Insecure Deserialization
    • ✅Prototype pollution
    • ❌Web Cache Poisoning
    • ✅LLM
    • ✅Business Logic
    • ✅File Upload
    • ✅Race Conditions
    • ✅CSRF
    • ✅CORS Misconfiguration
    • ✅Clickjacking
    • ✅API Testing
    • ❌GraphQL API
    • AWS Testing
    • ✅Broken Link Hijacking
  • 🖲️Network Service Pentesting
    • 📘Active Directory Services
      • Bleeding Edge Vulns
      • Misconfigs
      • Domain Trust
      • DNS (53)
      • Kerberos (88)
      • LDAP (389,636)
      • RPC WMI (135)
      • SMB (445)
      • WinRM - 5985
    • 📂FTP - 21
    • 🔐SSH - 22
    • 🤣Telnet - 23
    • SMTP - 25
    • TFTP - 69 UDP
    • HTTP - 80,443
      • Apache
      • Joomla
      • Drupal
      • Wordpress
      • WEBDAV
      • PHP
      • Laravel
    • IMAP/POP3 - 110,143,993,995
    • SNMP - 161
    • Rservices - 512
    • IPMI - 623
    • Rsync - 873
    • MSSQL - 1433
    • Oracle TNS - 1521
    • NFS - 2049
    • Docker
    • Grafana - 3000
    • MySQL - 3306
    • RDP - 3389
    • Postgresql - 5432
    • Redis - 6379
    • JDWP - 8000
    • MongoDB - 27017
  • 🕸️Network Pentesting
    • ARP Poisoning
  • 📞Android Pentesting
    • Rooting
    • Burp Suite Sertifikası
    • SSL Pinning Bypass
    • Patching
    • MobSF Kurulumu
    • Flutter Pentesting
  • 📰Teori
    • Güvenlik Ürünleri
    • OSI
    • Security Principles
  • Diğer
    • Hacking Gadgets
      • 🍍Wifi Pineapple
      • Pwnagotchi
    • Stego
    • Buffer Overflow
    • Phishing
    • Nessus
    • MSFConsole
    • DDOS Saldırıları
  • ⏪Reverse
    • GCC Reverse
    • Python Reverse
    • Flare VM
    • Remnux
  • 🛜Wireless Pentesting
    • Wireless Pentest
Powered by GitBook
On this page

Was this helpful?

  1. Web Application Pentesting

Business Logic

PreviousLLMNextFile Upload

Last updated 8 months ago

Was this helpful?

Business Logic Zafiyeti Nedir?

Business logic zafiyeti, bir yazılım veya uygulamanın iş kuralları ve mantığıyla ilgili zayıflık veya güvenlik açığıdır. Bu tür zafiyetler, uygulamanın tasarım aşamasında yapılan hatalardan kaynaklanır ve genellikle normal kullanıcı davranışlarının ötesine geçerek sistemi kötüye kullanmayı mümkün kılar.

Örneğin, bir e-ticaret sitesinde indirim kodlarıyla ilgili bir zafiyet, kullanıcıların sınırsız sayıda indirim uygulamasına veya belirli ürünleri ücretsiz almasına olanak tanıyabilir. Diğer bir örnek, bir bankacılık uygulamasında para transfer limitlerini aşmanın mümkün olması olabilir.

Yöntemler

Client-Side Kontrole Güvenmek

Örnek olarak bir ürün sepete eklenirken server tarafında ücreti kontrol edilmiyor ise ürünün fiyatını düşürebiliriz.

POST /cart HTTP/2
Host: example.com
Content-Length: 49
Content-Type: application/x-www-form-urlencoded

productId=1&price=10

Negatif Sayılarda Hatalar

Uygulamalar pozitif olması gereken verilerin negatif olup olmadığını kontrol etmiyor olabilir.

POST /cart HTTP/2
Host: example.com
Content-Length: 49
Content-Type: application/x-www-form-urlencoded

productId=1&quantity=-10

Mantıksız Güvenlik Kontrolü

Örnek olarak bir uygulama kendi şirketindeki çalışanlara admin yetkisi veriyor olabilir. Eğer eposta doğrulaması yapılmadan hesap açılıyor ise saldırgan admin hesabına sahip olabilir.

attacker@gmail.com -> /admin 403
attacker@example.com -> /admin 200 OK

Kuralların Hatalı Uygulanması

Mesela sepetteki ürünlere kupon uygulanabiliyor fakan aynı kuponun birden fazla kere girilememesi lazım. Eğer uygulama sadece son kuponun girilen kupon ile aynı olup olmadığını kontrol ediyorsa 2 kupon sürekli ard arda girilebilir.

NEWCUST5 -> OK
NEWCUST5 -> Rejected

NEWCUST5 -> OK
SIGNUP30 -> OK
NEWCUST5 -> OK

Çok Yüksek Sayılarda Hatalar

Bilgisayarlar bir verinin değeri çok yüksek integer değerlere çıktığında negatife dönebilir. Bu durumda negatif sayıda ürün alınıyor olabilir.

POST /cart HTTP/2
Host: example.com
Content-Length: 49
Content-Type: application/x-www-form-urlencoded

productId=1&quantity=2147483647

Girdilerin Yanlış Değerlendirilmesi

Örneğin uygulama bir domainden kayıtlı hesaplara admin yetkisi veriyor ve maili doğruluyor. Fakat veritabanı en fazla 255 karakter uzunluğunda email tutabiliyor ve devamını kesiyor. Böyle bir davranış varsa aşağıdaki şekilde bir saldırı yapabiliriz.

attacker@gmail.com -> 403
johndoe@example.com -> 200

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@example.com.attacker.com -> 200

Endpointlerde Zayıf Kontroller

Örneğin bu enpointte parametre olarak eski parola gönderiliyor fakat parametreyi sildiğimizde olup olmadığı kontrol edilmiyor olabilir.

POST /my-account/change-password HTTP/2
Host: example.com
Content-Length: 49
Content-Type: application/x-www-form-urlencoded

username=attacker&oldpassword=pass123&newpassword=pass1234


POST /my-account/change-password HTTP/2
Host: example.com
Content-Length: 49
Content-Type: application/x-www-form-urlencoded

username=administrator&newpassword=pass1234

Çok Adımlı İşlemlerde Kontrol Eksikliği

Örneğin bir ürün siparişinde önce sepete sonra ödeme kısmına sonrasında onay kısmına yönlendiriliyoruz.

Eğer kontrol yapılmıyorsa ödeme bilgisi girmeden sipariş oluşturabiliriz.

cart->checkout>confirmation
cart->confirmation

Request ile Doğrulanan Yetki Kontrolü

Örneğin admin paneline erişirken bizim admin olmadığımızı belirten bir istek atılıyor. Bu isteği yarıda keserek göndermezsek panele ulaşabiliriz.

POST /my-role HTTP/2
Host: example.com
Content-Length: 49
Content-Type: application/x-www-form-urlencoded

role=user

GET /admin -> 403

DROP /my-role
GET /admin -> 200

Mantıksız Para İşlemleri

Örneğin siteden 100TL karşılığında 100TL değerinde hediye kartı alabiliyoruz ve sitede bakiyemize yükleniyor.

Eğer bu ürüne indirim kuponu ekleyebiliyorsak 100 lira ile sonsuz bakiye yükleyebiliriz.

Aynı Şifrelemenin Birkaç Alanda Kullanılması

Örneğin bir mesaj gönderdiğinizde çerezinize o mesajın şifrelenmiş hali geliyor. Eğer bu çerezi decode eden bir özellik varsa diğer şifrelenmiş verileri de aynı şekilde decode etmeyi deneyebiliriz.

POST /message HTTP/2
Host: example.com
Cookie: stay-loggedin=Vqz0XBApYpXA75OFJegD9YLqjJ4rby7sMYkl8pnk2gY

message=hello123&email=attacker@gmail.com

GET /message HTTP/2
Host: example.com
notification=dAsdXBApYpdAfsay7sMYkl8pnk2gYfdshffzz

HTTP/2 200 OK
hello123

GET /message HTTP/2
Host: example.com
notification=Vqz0XBApYpXA75OFJegD9YLqjJ4rby7sMYkl8pnk2gY

HTTP/2 200 OK
attacker.202451850566413

Kaynaklar

Portswigger Academy: https://portswigger.net/web-security/logic-flaws

🕸️
✅
  • Business Logic Zafiyeti Nedir?
  • Yöntemler
  • Client-Side Kontrole Güvenmek
  • Negatif Sayılarda Hatalar
  • Mantıksız Güvenlik Kontrolü
  • Kuralların Hatalı Uygulanması
  • Çok Yüksek Sayılarda Hatalar
  • Girdilerin Yanlış Değerlendirilmesi
  • Endpointlerde Zayıf Kontroller
  • Çok Adımlı İşlemlerde Kontrol Eksikliği
  • Request ile Doğrulanan Yetki Kontrolü
  • Mantıksız Para İşlemleri
  • Aynı Şifrelemenin Birkaç Alanda Kullanılması
  • Kaynaklar