- Katılım
- 2 Ocak 2026
- Mesajlar
- 18
- Tepkime puanı
- 18
- Puan
- 3
Otomatize Araçların Göremediği Yer: Business Logic Açıkları Nedir?
Selamlar millet,
Bugün biraz "tool"ları kenara bırakıp, tamamen kafayı çalıştırmaya dayalı olan, benim en sevdiğim alan olan Business Logic (İş Mantığı) açıklarından bahsetmek istiyorum.
Hani bir siteye girersiniz, her şey teknik olarak mükemmeldir; SQL Injection yemez, XSS çalışmaz... Ama bir bakarsınız, sepetteki ürünün adetini -1 yaparak kasaya gittiğinizde site size borç çıkaracağına üzerine para veriyordur. İşte burası, yazılımcının "kodda" değil, "mantıkta" hata yaptığı yerdir.
Nedir bu Business Logic?
Kısaca; bir uygulamanın işleyiş kurallarıdır. Mesela: "Bir kullanıcı günde en fazla 3 kupon kullanabilir" veya "Sadece VIP üyeler bu butona basabilir." Eğer siz bu kuralı bir şekilde etrafından dolanarak deliyorsanız, tebrikler; bir business logic açığı buldunuz.Peki, Nasıl Bulunur? (Kendi Yöntemlerim)
Bunu bulmak için teknik bilgi kadar "kullanıcı psikolojisi" ve "çakallık" da gerekiyor. Ben genelde şu adımları izliyorum:- "Ben Yazılımcı Olsam Ne Yapardım?" Diye Sorun: Yazılımcı muhtemelen en kısa yolu seçmiştir. Mesela şifre sıfırlama linki gönderirken, sistem arka planda kullanıcı ID'sini mi kontrol ediyor yoksa sadece gelen token'a mı bakıyor?
- Akışı Bozun: Bir alışveriş sitesinde adımları takip etmeyin. 1. adımdan 3. adıma atlayın. Ödeme sayfasındayken geri gidip sepeti güncelleyin. Sistem bu karmaşada "Ödeme yapıldı" bilgisini unutabiliyor mu?
- Sınırları Zorlayın: Miktar kısımlarına çok büyük sayılar, negatif sayılar veya 0 girin. Uygulama "bu adam buraya neden -100 yazdı?" demiyorsa, orada bir ekmek vardır.
- Yetki Karmaşası (IDOR ile Kardeştir): Sizin profilinizi düzenleyen bir istekte user_id=123 yazıyorsa, onu 124 yapınca başkasının profilini güncelleyebiliyor musunuz? Bu en klasik ama hala en çok para kazandıran hatalardan biri.
Neden Bu Alanı Seviyorum? (Bir Başarı Hikayesi)
Çünkü burada araçlar (Burp Suite'in kendisi hariç) işe yaramıyor. Sizin yaratıcılığınız devrede.Hatta size bu mantık hatalarının ne kadar ileri gidebileceğine dair taze bir örneğimi vereyim: Yakın zamanda kendi üniversitemde (Goce Delchev University) tam olarak bu mantık akışlarını kurcalarken, iki faktörlü doğrulamayı (2FA) tamamen atlatabilen (bypass) bir açık yakaladım. Bu hata sayesinde, öğretmen hesapları dahil istediğim hesapta login olabiliyordum. Bulduğum bu açığı düzgünce raporlayıp sunduktan sonra hem sistemi kapattık hem de üniversitenin IT departmanında staj kazandım! İsterseniz detayları LinkedIn profilimden de görebilirsiniz.
Kısa bir tavsiye: Bir platformu test ederken sadece "açık bulmaya" odaklanmayın; önce o platformun nasıl para kazandığını, paranın ve verinin nasıl döndüğünü anlayın. Mantığı anladığınız an, o mantığın içindeki boşluğu görmeniz çok daha kolay olacaktır.
