असुरक्षित प्रत्यक्ष वस्तु संदर्भ (या IDOR) एक साधारण बग है जो एक पंच पैक करता है। जब शोषण किया जाता है, तो यह हमलावरों को संवेदनशील डेटा या पासवर्ड तक पहुंच प्रदान कर सकता है या उन्हें सूचना को संशोधित करने की क्षमता प्रदान कर सकता है। HackerOne पर, 200 से अधिक पाए जाते हैं और हर महीने ग्राहकों को सुरक्षित रूप से सूचित किया जाता है।
IDOR क्या है?
IDOR हमलों के कई प्रकार हैं, जिनमें शामिल हैं:
- शरीर में हेरफेर, जिसमें हमलावर आसानी से अन्य उपयोगकर्ताओं से जानकारी प्राप्त करने के लिए एक चेकबॉक्स, रेडियो बटन, एपीआई और फ़ील्ड के मान को संशोधित करते हैं।
- URL छेड़छाड़जिसमें HTTP रिक्वेस्ट में पैरामीटर्स को ट्वीक करके URL क्लाइंट के एंड में संशोधित किया गया है।
- HTTP अनुरोध जिसमें IDOR भेद्यताएं आमतौर पर GET, POST, PUT और DELETE क्रियाओं में पाई जाती हैं।
- बड़े पैमाने पर असाइनमेंट, जहां डेटा को संशोधित करने के लिए एक रिकॉर्ड पैटर्न का दुरुपयोग किया जा सकता है जिसे उपयोगकर्ता तक पहुंचने में सक्षम नहीं होना चाहिए। हमेशा आईडीओआर कमजोरियों का परिणाम नहीं होने के बावजूद, इसके कई शक्तिशाली उदाहरण हैं।
अपने सरलतम और सबसे सामान्य रूप में, एक IDOR भेद्यता तब उत्पन्न होती है जब उपयोगकर्ता से सामग्री तक पहुंचने या बदलने के लिए एकमात्र इनपुट आवश्यक होता है। इस जोखिम कैलिफोर्निया स्थित हैकर रजन रिजाल (उर्फ) द्वारा शोपिफाई करने के लिए प्रस्तुत किया गया @ बृजलालोचन) 2018 में इसका सटीक उदाहरण है।
Shopify के Exchange Marketplace एप्लिकेशन को एक क्वेरी भेजते समय फ़ाइल अनुलग्नकों को कैसे लेबल किया गया था, इसका अवलोकन करके, Rojan विभिन्न खातों से एक ही फ़ाइल नाम का लाभ उठाकर दस्तावेज़ों को बदलने में सक्षम था।
चित्र 1: HackerOne प्लेटफ़ॉर्म पर Shopify को @rijalrojan द्वारा रिपोर्ट की गई IDOR भेद्यता।
खुदरा और ईकॉमर्स कंपनियों के लिए, IDOR भेद्यताएं 15% का प्रतिनिधित्व करती हैं जो संगठन सरकार के लिए बाउंस का भुगतान करते हैं और सरकार (18%), चिकित्सा प्रौद्योगिकी (36%), और पेशेवर सेवाओं (31%) उद्योगों के लिए शीर्ष भेद्यता का प्रतिनिधित्व करते हैं।
यदि वे इतने सरल हैं, तो वे इतने सामान्य क्यों हैं?
संक्षेप में, IDORs का पता केवल टूल्स द्वारा नहीं लगाया जा सकता है।
पहचान के लिए IDORs को रचनात्मकता और मैन्युअल सुरक्षा परीक्षण की आवश्यकता होती है। उन्हें आपको लक्ष्य एप्लिकेशन के व्यावसायिक संदर्भ को समझने की आवश्यकता है। हालांकि कुछ स्कैनर गतिविधि का पता लगा सकते हैं, यह विश्लेषण, मूल्यांकन और व्याख्या करने के लिए एक मानव आंख लेता है। गहरे संदर्भ को समझना एक सहज मानवीय कौशल है जिसे मशीनें दोहरा नहीं सकती हैं। पारंपरिक पंचकोणों में, जब तक कि प्रत्येक अनुरोध समापन बिंदु में एक पंचक हर संभावित पैरामीटर का परीक्षण नहीं करता है, तब तक ये कमजोरियाँ पूर्ववत चल सकती हैं।
IDOR भेद्यता के निहितार्थ क्या हैं?
शायद देर से सबसे बदनाम IDOR भेद्यता है, जो ऑल-टेक सोशल मीडिया प्लेटफॉर्म Parler में पाया जाता है। कंपनी ने URL में संख्या के आधार पर अपने पोस्ट का आदेश दिया, IDOR का एक संकेत चिन्ह। यदि आप एक पारलर पोस्ट URL में अनुक्रमिक अंक जोड़ते हैं, तो आप अगली पोस्ट को अनिश्चित काल के लिए प्लेटफॉर्म पर एक्सेस कर सकते हैं। प्रमाणीकरण या पहुंच सीमा के बिना, एक हमलावर आसानी से पूरी साइट से हर पोस्ट, फोटो, वीडियो और डेटा डाउनलोड करने के लिए एक कार्यक्रम बना सकता है। जबकि यह सिर्फ सार्वजनिक पोस्ट (जरूरी नहीं कि खातों को सत्यापित करने के लिए इस्तेमाल की जाने वाली आईडी) हो, पोस्टों से जियोलोकेशन डेटा भी डाउनलोड किया गया था, जो उपयोगकर्ताओं के घरों के जीपीएस निर्देशांक को प्रकट कर सकता है।
आप IDORs को क्रॉप करने से कैसे रोक सकते हैं?
हैकर से बचने के लिए हैकर ने कहा कि IDOR से बचना केवल एक मजबूत एक्सेस कंट्रोल तंत्र का निर्माण करना है, अपने परिदृश्य के लिए सबसे अच्छी फिट कार्यप्रणाली का चयन करना, सभी एक्सेस को लॉग इन करना और यदि संभव हो तो एक ऑथराइजेशन चेक के साथ ऑडिट करना है। @manoelt.
"हालांकि, अगर आप एक IDOR के प्रभाव को कम करना चाहते हैं, तो बैकएंड में ऑब्जेक्ट्स को संदर्भित करने के लिए एक सरल पैटर्न का उपयोग करने से बचें, इस प्रकार एक अनुक्रमिक पूर्णांक मान का उपयोग नहीं कर रहे हैं, लेकिन यूआईडी या मैक (हैशेड आईडी) जैसी कोई चीज़ नमक उपयोगकर्ता सत्र के अनुसार।
यह आईडीओआर को समाप्त नहीं करता है, लेकिन समग्र प्रभाव और वस्तुओं की गणना करने की क्षमता को कम करता है। "
आईडीओआर कमजोरियों को दूर करने के लिए, नीचे कुछ सर्वोत्तम अभ्यास दिए गए हैं।
- डेवलपर्स को निजी ऑब्जेक्ट संदर्भ जैसे कि चाबियाँ या फ़ाइल नाम प्रदर्शित करने से बचना चाहिए।
- मापदंडों का सत्यापन ठीक से लागू किया जाना चाहिए।
- सभी संदर्भित वस्तुओं के सत्यापन की जाँच की जानी चाहिए।
- टोकन इस तरह से जनरेट किए जाने चाहिए कि यह केवल उपयोगकर्ता को मैप किया जा सके और सार्वजनिक न हो।
- सुनिश्चित करें कि संसाधन के स्वामी के लिए क्वेरीज़ को स्कोप किया गया है।
- अनुक्रमिक आईडी पर UUIDs (यूनीली यूनिक आइडेंटिफ़ायर) का उपयोग करने जैसी चीज़ों से बचें क्योंकि UUIDs अक्सर IDOR भेद्यताओं को कम नहीं होने देते हैं।
जोखिम को कम करने और हैकर द्वारा संचालित सुरक्षा के साथ शुरुआत करने के बारे में अधिक जानकारी के लिए, हमारी जाँच करें CISOs हैकर-संचालित सुरक्षा से व्युत्पन्न मूल्य के लिए गाइड.
टैग
अपने कस्टम पढ़ने के अनुभव को अनलॉक करने के लिए अपना निःशुल्क खाता बनाएं।
Coinsmart। यूरोपा में बेस्टे बिटकॉइन-बोरसे
स्रोत: https://hackernoon.com/what-are-insecure-direct-object-references-idor-hz1j33e0?source=rss
