Arkadaşlar merhaba, bu videoda sizlere web uygulamalarında gizli parametrelerin keşfi konusunu ele alacağız. Ancak önce çok kritik bir soruya cevap verelim: Gizli parametreleri tespit etmek neden bu kadar önemli?

Web uygulamalarında görünen parametreler, zaten son kullanıcıya sunulmuş ve çoğu zaman çeşitli güvenlik kontrolleriyle sınırlandırılmış yapılardır. Ancak işin arka planında, geliştiriciler tarafından debug amacıyla unutulmuş parametreler, yetki kontrolü yapan gizli değişkenler, admin fonksiyonlarını tetikleyen özel parametreler veya “nasıl olsa kimse görmez” düşüncesiyle bırakılmış arka kapılar bulunabilir.

İşte tam da bu yüzden, bir web pentest çalışmasının keşif (recon) aşamasında gizli parametrelerin tespiti, sistemi gerçekten anlamak ve kritik zafiyetlere giden yolu açmak açısından son derece hayati bir adımdır.

Bu noktada karşımıza çıkan Arjun aracı; GET ve POST parametreleri başta olmak üzere, arayüzde görünmeyen ama arka planda çalışan gizli değişkenleri tespit etmeye yarayan, akıllı bir brute-force ve analiz aracıdır.

Arjun tek başına doğrudan bir exploit gerçekleştirmez. Ancak yaptığı tespitler sayesinde çok kritik kapıları aralayabilir. Örneğin:

• IDOR (Yetkisiz Nesne Erişimi) açıkları

• Yetki yükseltme zafiyetleri

• Test veya debug modlarını açan gizli parametreler

• Gizli filtreleme veya bypass parametreleri

• İş mantığı (Business Logic) hataları

• Admin fonksiyonlarını tetikleyen gizli değişkenler
  

Bunların tamamı, Arjun’un dolaylı olarak ortaya çıkarabileceği yüksek etki değerine sahip güvenlik problemleridir.

Peki Arjun bu işlemi nasıl yapıyor?

Arjun, içinde parametre isimleri bulunan özel bir wordlist kullanarak hedef sisteme yüzlerce hatta binlerce istek gönderir. Ardından gelen cevapların:

• HTTP durum kodlarını

• İçeriklerini

• Boyutlarını

• Davranış farklılıklarını

birbirleriyle karşılaştırarak hangi parametrenin uygulamanın davranışını değiştirdiğini analiz eder ve bu şekilde gizli parametreleri ortaya çıkarır.