June 2, 2026
Bir Login Sayfası Kaç Farklı Şekilde Hacklenebilir?
Bir hacker login sayfasına baktığında normal bir kullanıcıdan çok daha farklı şeyler görür ve planlar.
Zeki Kayaalp
4 min read
Peki login ekranı sadece sıradan bir giriş sayfası mıdır?
Elbetteki durum bildiğinizden çok daha farklı. Çünkü sıradan sanılan login ekranı aynı zamanda şu bileşenlerden oluşuyor:
Authentication( kimlik doğrulama)
Authorization (yetkilendirme)
session Management (Oturum yönetimi)
MFA (Çok faktörlü kimlik doğrulama)
Password Reset
OAuth/ SSO
API Katmanı
Reverse Proxy
WAF
Cache KatmanıAuthentication( kimlik doğrulama)
Authorization (yetkilendirme)
session Management (Oturum yönetimi)
MFA (Çok faktörlü kimlik doğrulama)
Password Reset
OAuth/ SSO
API Katmanı
Reverse Proxy
WAF
Cache KatmanıBu yüzden login ekranı sadece sıradan bir login ekranı değil aynı zamanda bir çok saldırıya açık bir zafiyet oturumudur.
Bu yazımızda şu sorulara cevap vermeye çalışacağız:
Bir login ekranı gerçekten sadece kullanıcı adı ve şifre alanından mı ibarettir?
Bir pentester bu ekrana baktığında neden onlarca farklı saldırı senaryosu görür?
MFA bulunan bir sistem gerçekten güvenli midir?
Login ekranından başlayarak bir hesabın ele geçirilmesine kadar giden süreç nasıl işler?
Bu yazıda bir pentesterin login mekanizmasına nasıl yaklaştığını ve hangi kritik noktaları test ettiğini adım adım inceleyeceğiz.
Bismillah..
Kullanıcı Adı Enumeration (Kullanıcı Doğrulama Sızıntısı)
Çoğumuza sıradan gelen fakat aslında bir veri sızıntısı olan , sistemin kullanıcı varlığını açıklayıp açıklamadığı bu zafiyet login ekranında aranan ilk zafiyetimiz olacaktır.
Normal şartlarda Kullanıcı adı kısmında random bir isim girdiğinizde şöyle bir uyarı almanız gerekiyor:
Burada zeki kayad kullanıcısı sitede kayıtlı mı dğeil mi onu test ettik.
Çok sıradan ve basit görünen bu durum tek başına elbette büyük bir data leak değildir lakin bu hata sonraki saldırıların temelini oluşturur.
Bu durum şu 3 şekilde incelenebilir :
Geçerli kullanıcıların tespit eidlmesi
Hedef listesi oluşturulması
Password sparing saldırıları gerçekleşebilir
BRUTE FORCE KORUMASI
Login ekranınızda bir kullanıcı çok fazla deneme yaptığında hesap kitleniyor mu?
CAPCTHA var mı?
Rate Limit uygulanıyor mu?
Uygulanmıyorsa aynı anda atılacak milyonlarca istek nasıl kontrol ediliyor?
IP bazlı koruma var mı?
Kullanıcı bazlı koruma var mı?
Kontrol edilmeyen login endpointleri yüz binlerce denemeye maruz kalabilir.
Credential Stuffing
Buradaki saldırı yüzeyi şöyledir: Farklı mecralardan toplanılan kullanıcı bilgileri denenerek hesap ele geçirilme yapılmaya çalışılır.
Linkedln veri sızıntısı, adobe ,canva, forum gibi yerlerden kullanıcılar aynı paroları tekrar kullanıyorsa pentesterlar da bu şifre ve kullanıcı adlarını tekrar kullanarak hesabı çalarlar.
SQL Injection
SQL injection saldırılarını detaylıca anlatmamıza gerke yok burada. Login ekranında en çok denenen ve başarıya ulaşan saldırı türlerinden biri de budur. Burada temel hedef kimlik doğrulamayı atlatarak database sızmaktır.
Detaylı bilgi için:
SQL İnj Sistemi Nasıl Manipüle Eder? SQL İnj Sistemi Nasıl Manipüle Eder? XSS sistemi nasıl manipüle eder yazımızdan sonra şimdi de SQL sistemi nasıl…
Session Prediction
Bazı uygulamalar tahmin edilebilir, düşük entropili session üretir. Bunun sonucunda ise şöyle bir saldırı yüzeyi ortaya çıkabilir:
session=10001 session=10002 session=10003
Bu şekilde başkasına ait oturumlar tahmin edilebilir hale gelir.
MFA Bypass
Hepimiz özellikle instagram gibi yerlerde çok katmanlı kimlik doğrulama görüdük mü kendimizi tamamen güvende hissederiz lakin durum pek de öyle değil.
MFA'nın varlığı ilk kritik noktadır.
Bazı sistemlerde:
— MFA sadece aktif edilebiliyor ya da ilk login'den sonra öneriliyor
Bu durumda saldırgan:
— MFA hiç aktif edilmemiş hesapları hedefler ya da MFA'sız fallback login akışını kullanır
Kritik hata: Backend tarafında MFA enforcement yoksa, frontend kontrolü hiçbir şey ifade etmez.
genelde şu akışla çalışır:
1. Username + Password
2. MFA Challenge (OTP / Push / TOTP)
3. Session Creation1. Username + Password
2. MFA Challenge (OTP / Push / TOTP)
3. Session CreationAma zayıf sistemlerde:
- adım kontrol edilmeden 3. adıma geçilebilir
Direkt session üretimi yapılabilir
Örnek mantık hatası
endpoint'i MFA doğrulaması olmadan çalışıyorsa MFA tamamen bypass edilir.
Remember Me / Device Trust Zafiyetleri
Remember me özelliği çoğu zaman MFA bypass zincirinin en zayıf halkasıdır.
Riskli durumlar:
Cihaz doğrulaması sadece cookie'ye bağlı
Device fingerprint zayıf
Token süresi çok uzun
MFA sadece ilk login'de isteniyor
Bu durumda:
Bir kez login olan cihaz tekrar MFA sormadan erişir
Cookie çalınırsa MFA tamamen devre dışı kalır
Gibi saldırı yöntemleri ve sistem zayıflıkları ile MFA atlatılabilir.
Race Condition
Race condition saldırısı aynı zamanda iki farklı isteğin sunucuya düşerek sistemin manipüle edilmesidir. Sisteme aynı anda düşen istekler bazı durumlarda beklenmedik sonuçlar da üretebilir.
Daha detaylı bakmak için:
Race Condition Zafiyeti Race Condition Zafiyeti En son yazımızda herhangi bir koda hiç payload inj etmeden Insecure Design konusunu ele…
Mesela ne?
MFA doğrulanmadan oturum açılması
Login deneme sayacının atlatılması
Hesap kilidinin bypass edilmesi
Son yıllarda bu tip açıklar çok fazla görünmeye başlandı
API Login Noktaları
Bazı developerlar kritik derece endpointler unutarak kullanıcı verilerini tehlikeli bir duruma sokar.
/api/login /api/auth /api/v1/token
Unutulan bu endpointler login ekranının arkasındaki API'yi analiz ederek…
VELHASIL -I KELAM
Login ekranı sadece sıradan bir ekran değil bir hacker için hayat memat meselesidir.
Çözülebilir lab'lar:
Lab: Username enumeration via different responses This lab is vulnerable to username enumeration and password brute-force attacks. It has an account with a predictable…
Lab: Username enumeration via response timing This lab is vulnerable to username enumeration using its response times. To solve the lab, enumerate a valid username…
Lab: Broken brute-force protection, IP block This lab is vulnerable due to a logic flaw in its password brute-force protection. To solve the lab, brute-force the…
Lab: SQL injection vulnerability allowing login bypass This lab contains a SQL injection vulnerability in the login function. To solve the lab, perform a SQL injection attack…
Lab: 2FA simple bypass This lab's two-factor authentication can be bypassed. You have already obtained a valid username and password, but do…
Lab: 2FA broken logic This lab's two-factor authentication is vulnerable due to its flawed logic. To solve the lab, access Carlos's account…
https://portswigger.net/web-security/race-conditions/lab-race-conditions-password-reset
ZEKİ KAYAALP/CYBER SECURİTY ARAŞTIRMACISI :)