4: Hak Yükseltme Denetimi (Privilege Escalation)

• Kullanıcının yetkisi dışında olan hak ve rollere erişimi, hak yönetim açıklığıdır.
• Hak yükseltme çeşitleri:
• Çalışanım, başka bir çalışan olan Mehmet olarak iş yapabiliyorum => Yatay hal yükseltme.
• Çalışanım, yöneticim olarak işlem yapabiliyorum => Dikey hak yükseltme.
• Yatay hak yükseltme örneği: MySpace’de URL sonundaki BID değerini değiştirerek kendinize ait olmayan duyuruları okuyabilirsiniz.
• Dikey hak yükseltme örneği: Bir mail list’te toplu mail atabilme yetkisi, gizli parametre ile client tarafında tutulmaktadır! Parametre değerini F’den T’ye çekerek admin yetkisine sahip olduk.
• URL’de oynama yaparak çok ciddi açıklıklar bulunabilir