- Katılım
- 2 Ocak 2026
- Mesajlar
- 66
- Tepkime puanı
- 76
- Puan
- 18
Broken access control nasıl ihlal edilir konusu elbette çok derin ve detaylı bir konudur. Bu yazımızda yetkisiz erişimin bir kaç parçasını ele alıp detaylıca incelemeye çalışacağız.
Kısaca Broken access control ; bir kullanıcının ona verilen izinler dışında daha
çok veriye erişim zafiyetidir. Kullanıcı bunu external veya internal yapabilir. Bu zafiyete giden bir çok fazla yol bulunmaktadır. İşte bunlardan bazıları( Bu sefer mehtersiz başlıyoruz)
1. IDOR: Özel kimlik değiştirerek size ait olmayan verilere erişimdir.
Bu kimlik ID olabilir, dosya yolu olabilir, Kullanıcı numarası olabilir UUID, parametre…Özel olarak nasıl bir kimlik tanınmışsa onun değişimiyle size ait olmayan veriye erişimdir./profile?user_id=1002 Size ait olan ID 1002 siz bu ID’yi 1003 yapıp farklı bir kullanıcının verilerine erişebiliyorsanız işte bu IDOR, Broken Access Control’dür.
IDOR kendi içerisinde de yatay ve dikey yetki yükseltme olarak ikiye ayrılıyor.
Elbette IDOR şu anda bu seviyede bir zafiyet değil.
2. Authentication(Kimlik Doğrulama)
Authentication adı üzerinde kimlik doğrulama sürecidir. Herhangi bir sosyal medya hesabınızın şifre ve kullanıcı adınızı girdiğinizi düşünün,Telefondan ekran kilidi şifre doğrulaması yaptığınızı varsayın..
Authentication 3 faktör üzere inşa edilir genellikle:
- Şifre (password)
- PIN
- Güvenlik soruları (Çocukken takma adın,okuduğun ilkokul vb)
1. Elbette akla ilk gelen BRTUE FORCE oluyor. Zorla defalarca uygulanan meşhur kaba kuvvet saldırısı. Ne kadar zarar verebilir ki? Eğer herhangi bir rate limit yoksa milyonlarca istek sunucuları kullanılamaz hale getirebilir. Kullanıcı hesapları ele geçirilir, admin hesabı kırılır, sistem içi veri sızıntısı olur, Kurumsal hesaplar compromise edilebilir.
Nasılmış ama no rate limit?
2. Credential Stuffing
Bu da Brute force ama daha önce kaydedilen şifrelerin tek tek denettirlimesiyle ortaya çıkan zafiyettir. Bu şifreler daha önce başka sitelerden sızmış şifreler denenir.Şirket ne tür zararlara uğrar:
- Çok sayıda hesabın ele geçirilmesi
- Kullanıcı verilerinin toplu çalınması
- Kimlik hırsızlığı
- Finansal kayıplar
3. Weak Password Policy
Zayıf şifre kuralları konulan bir sistem her şeye hazır olmalıdır. Brute force süresi çok kısalır, Güvenlik zinciri hemen dağılır.
Olası senaryoları az çok tahmin edebiliyorsunuzdur lo.
4. OTP/2FA Zayıflığı
Son dönemlerde özellikle çalınan hesaplardan , sızılan sitelere kadar bir çok sistemde çift faktörlü kimlik doğrulamanın olmaması yüzlerce belki de binlerce kişiyi mağdur etti. Elinizde bulunan tüm verileri çift faktörlü kimlik doğrulaması ile koruma altına alın.*5. Authentication Bypass( Muhim)
Kimlik doğrulama eğer mantıksal olarak atlatılırsa login olmadan login olmuş gibi davranılır. Bu ne demek?Sistemin Auth kontrolü atlatılır. (Yani sistem ayvayı yedi demek)
https://medium.com/plans?source=upg...cbb1b0---------------------------------------
Şu şekilde bir mantıksal hata varsa sisteme login olabilirsiniz:
- API endpoint auth kontrolü yapmaz
- “if (isAuthenticated == true)” kontrolü yanlış yerde yapılır.
Burp suit’te Request tarafında dönerse eğer
POST /login
{
“username”: “zeki”,
“password”: “123456”,
“role”: “user”
}
siz bunu kolaylık manpüle edebilirsiniz yorumda sadece
“role”: “admin” düzeltin eğer backend kontrol etmezse sistem sizindir.
Authentication genel itibariyle budur. Elbette çok fazla zafiyet yöntemi var ben genel itibariyle yaygın olanlara değinmeye çalıştım.
3. Missing Function Level Access Control (Fonksiyon Bazlı Yetki Eksikliği) (MFLAC)
Sistem içerisinde belirli fonskiyonların kimler tarafından çağırılacağını kontrol edilmemesidir. Nasıl mı?Eğer sistem ‘bu kişi bu fonksiyonu çağırabilir mi’ sorusunu sormuyorsa orda MFLAC vardır.
MFLAC ile IDOR farklı şeylerdir. Biri nesne üzerinde işlerken(IDOR) diğeri tamamen fonskiyon odaklı çalışır(mflac)
4. Broken Role-Based Access Control (RBAC
Rol sisteminin yanlış uygulanması sonucu ortaya çıkan broken accessToken içerisinde rol bilgisi varsa eğer değiştirip manipüle et
”role”: “user” var olan rol
“role”: “admin” user kısmını admin olarak değiştir. Backend kontrol etmezse eğer artık adminsin.
5. Forced Browsing(Zorla gezinme)
Son olarak zorla gezinme noktasına değinmek istiyorum.Gizli sayfalara zorla erişim bir çok pentesterin ilk yaptığı işlemlerden biridir. Normalde senin bu sayfalara erişememen lazım lakin URL kısmına çeşitli nesneler ile eğer hassas dosyalara erişiyorsan işte bu zafiyet FORCE BROWSING’tir.
Genel itibariyle Broken Access control bu başlıklar altında toplanır. Daha önce de dediğim gibi bir çok farklı teknik daha bulunmaktadır. Kısa öz, sıklıkla karşılaşılan maddeleri yazmaya gayret gösterdim.
Unutmayın Broken Acces Control OWASPTOP10 2025–2021 1. Sırada yer aldı
Zeki Kayaalp
Son düzenleme:
etki yok bilmem ne, etki yapsan: kurallari astin bilmem ne 
rapor çöp oldu. Halisünasyonu ben görmeye başladım artık doğru mu yanlış mı anlayamıyorum
