مراجع الكائنات المباشرة غير الآمنة (أو IDOR) هي خطأ بسيط يحزم لكمة. عند استغلاله ، يمكن أن يوفر للمهاجمين إمكانية الوصول إلى البيانات الحساسة أو كلمات المرور أو يمنحهم القدرة على تعديل المعلومات. على HackerOne ، يتم العثور على أكثر من 200 وإبلاغ العملاء بأمان كل شهر.
ما هو IDOR؟
هناك عدة أنواع من هجمات IDOR ، بما في ذلك:
- التلاعب بالجسم، حيث يقوم المهاجمون بتعديل قيمة مربع الاختيار ، وأزرار الاختيار ، وواجهات برمجة التطبيقات ، وحقول النموذج للوصول إلى المعلومات من المستخدمين الآخرين بسهولة.
- URL العبث، حيث يتم تعديل عنوان URL عند نهاية العميل عن طريق تعديل المعلمات في طلب HTTP.
- طلبات HTTP التي توجد فيها ثغرات IDOR عادةً في أفعال GET و POST و PUT و DELETE.
- الاحالة الجماعية، حيث يمكن إساءة استخدام نمط التسجيل لتعديل البيانات التي يجب ألا يتمكن المستخدم من الوصول إليها. في حين أنه ليس دائمًا نتيجة لنقاط ضعف IDOR ، إلا أن هناك العديد من الأمثلة القوية على أن هذا هو نتيجة لذلك.
في أبسط أشكالها وأكثرها شيوعًا ، تظهر ثغرة IDOR عندما يكون الإدخال الوحيد المطلوب للوصول إلى المحتوى أو استبداله من المستخدم. هذا الضعف تم إرسالها إلى Shopify من قِبل المخترق روجان ريجال (المعروف أيضًا باسم تضمين التغريدة) في 2018 هو المثال المثالي.
من خلال مراقبة كيفية تسمية مرفقات الملفات عند إرسال استعلام إلى تطبيق Shopify's Exchange Marketplace ، تمكن Rojan من استبدال المستندات عن طريق الاستفادة من اسم الملف نفسه من حسابات مختلفة.
الشكل 1: ثغرة IDOR التي أبلغ عنهاrijalrojan إلى Shopify على منصة HackerOne.
بالنسبة لشركات البيع بالتجزئة والتجارة الإلكترونية ، تمثل ثغرات IDOR 15٪ مما تدفعه المؤسسات للمكافآت وتمثل أكبر نقاط الضعف للبرامج عبر الحكومة (18٪) والتكنولوجيا الطبية (36٪) والخدمات المهنية (31٪).
إذا كانت بسيطة جدًا ، فلماذا تكون شائعة جدًا؟
باختصار ، لا يمكن اكتشاف معرفات IDOR بواسطة الأدوات وحدها.
تتطلب IDORs إبداعًا واختبار أمان يدوي للتعرف عليها. إنها تتطلب منك فهم سياق الأعمال للتطبيق المستهدف. في حين أن بعض الماسحات الضوئية قد تكتشف نشاطًا ، إلا أن تحليلها وتقييمها وتفسيرها يتطلب عينًا بشرية. إن فهم السياق الأعمق هو مهارة بشرية بالفطرة لا تستطيع الآلات تكرارها. في pentests التقليدية ، ما لم يختبر pentester كل معلمة ممكنة في كل نقطة نهاية طلب ، يمكن أن يتم اكتشاف نقاط الضعف هذه.
ما هي الآثار المترتبة على ضعف IDOR؟
ربما تكون أكثر نقاط ضعف IDOR سيئة السمعة مؤخرًا هي تلك الموجودة في منصة الوسائط الاجتماعية ذات التقنية البديلة Parler. طلبت الشركة منشوراتها من خلال الرقم في عنوان URL ، وهي علامة منبهة لـ IDOR. إذا أضفت رقمًا متسلسلًا إلى عنوان URL لمشاركة Parler ، فيمكنك الوصول إلى المنشور التالي على النظام الأساسي إلى أجل غير مسمى. بدون حدود المصادقة أو الوصول ، يمكن للمهاجم بسهولة إنشاء برنامج لتنزيل كل منشور وصورة وفيديو وبيانات من الموقع بأكمله. بينما كانت هذه مجرد منشورات عامة (وليس بالضرورة المعرفات المستخدمة للتحقق من الحسابات) ، تم أيضًا تنزيل بيانات تحديد الموقع الجغرافي من المنشورات ، مما قد يكشف عن إحداثيات GPS لمنازل المستخدمين.
كيف يمكنك منع IDORs من الظهور؟
قال مخترق HackerOne مانويل أبرو نيتو ، المعروف عبر الإنترنت باسم تضمين التغريدة.
"ومع ذلك ، إذا كنت ترغب في تقليل تأثير IDOR ، فتجنب استخدام نمط بسيط للإشارة إلى الكائنات في الواجهة الخلفية ، وبالتالي لا تستخدم قيمة عدد صحيح متسلسل ولكن شيئًا مثل uuid أو حتى MAC (معرف مجزأ) مع ملح لكل جلسة مستخدم.
هذا لا يلغي IDOR ، ولكنه يقلل من التأثير الكلي والقدرة على تعداد الكائنات ".
لإصلاح نقاط ضعف IDOR ، فيما يلي بعض أفضل الممارسات.
- يجب على المطورين تجنب عرض مراجع الكائنات الخاصة مثل المفاتيح أو أسماء الملفات.
- يجب تنفيذ التحقق من صحة المعلمات بشكل صحيح.
- يجب التحقق من التحقق من جميع الكائنات المشار إليها.
- يجب إنشاء الرموز بطريقة لا يمكن تعيينها إلا للمستخدم وليست عامة.
- تأكد من تحديد نطاق الاستعلامات لمالك المورد.
- تجنب أشياء مثل استخدام UUIDs (المعرف الفريد عالميًا) عبر المعرفات المتسلسلة لأن UUID غالبًا ما تتيح ثغرات IDOR دون اكتشافها.
لمزيد من المعلومات حول تقليل المخاطر والبدء في الأمان المدعوم من القراصنة ، تحقق من دليل CISO لاشتقاق القيمة من الأمن المدعوم من القراصنة.
الاوسمة (تاج)
قم بإنشاء حسابك المجاني لفتح تجربة القراءة المخصصة الخاصة بك.
كوينسمارت. Beste Bitcoin-Börse في أوروبا
المصدر: https://hackernoon.com/what-are-insecure-direct-object-references-idor-hz1j33e0؟
