私達と接続する

サイバーセキュリティ

安全でない直接オブジェクト参照(IDOR)とは何ですか?

アバター

公開済み

on

HackerOne HackerNoonプロフィール写真

@hacker0x01HackerOne

HackerOneは、より安全なインターネットを構築するために世界に力を与えます。

安全でない直接オブジェクト参照(またはIDOR)は、パンチを詰め込んだ単純なバグです。 悪用されると、攻撃者に機密データやパスワードへのアクセスを提供したり、情報を変更する機能を提供したりする可能性があります。 HackerOneでは、毎月200以上が検出され、安全に顧客に報告されています。 

IDORとは何ですか?

IDOR攻撃には、次のようないくつかの種類があります。

  • ボディマニピュレーション、攻撃者がチェックボックス、ラジオボタン、API、およびフォームフィールドの値を変更して、他のユーザーからの情報に簡単にアクセスできるようにします。
  • URLの改ざん、HTTPリクエストのパラメータを微調整することにより、クライアント側でURLが変更されます。 
  • HTTPリクエスト IDORの脆弱性は通常、GET、POST、PUT、およびDELETE動詞に見られます。
  • 一括割当、レコードパターンを悪用して、ユーザーがアクセスできないようにする必要のあるデータを変更する可能性がある場合。 IDORの脆弱性の結果であるとは限りませんが、これが結果であるという強力な例は数多くあります。 

最も単純で最も一般的な形式では、コンテンツへのアクセスまたはコンテンツの置換に必要な唯一の入力がユーザーからのものである場合に、IDORの脆弱性が発生します。 この脆弱性 カリフォルニアを拠点とするハッカーRojanRijal(別名 @rijalrojan)2018年は完璧な例です。

ShopifyのExchangeMarketplaceアプリケーションにクエリを送信するときに添付ファイルがどのようにラベル付けされているかを観察することで、Rojanは異なるアカウントの同じファイル名を利用してドキュメントを置き換えることができました。 

図1:@rijalrojanがHackerOneプラットフォームでShopifyに報告したIDORの脆弱性。

小売およびeコマース企業の場合、IDORの脆弱性は、組織が報奨金を支払うものの15%を占め、政府(18%)、医療技術(36%)、および専門サービス(31%)業界全体のプログラムの最大の脆弱性を表しています。 

それらが非常に単純である場合、なぜそれらはそれほど一般的ですか? 

つまり、IDORはツールだけでは検出できません。 

IDORを識別するには、創造性と手動のセキュリティテストが必要です。 ターゲットアプリケーションのビジネスコンテキストを理解する必要があります。 一部のスキャナーはアクティビティを検出する場合がありますが、分析、評価、および解釈には人間の目が必要です。 より深い文脈を理解することは、機械が複製できない本質的に人間のスキルです。 従来のペネトレーションテストでは、ペネトレーションテストがすべてのリクエストエンドポイントで可能なすべてのパラメータをテストしない限り、これらの脆弱性は検出されない可能性があります。 

IDORの脆弱性にはどのような影響がありますか? 

おそらく、最近の最も悪名高いIDORの脆弱性は、alt-techソーシャルメディアプラットフォームParlerに見られる脆弱性です。 同社は、IDORの明らかな兆候であるURLの番号で投稿を注文しました。 Parlerの投稿URLに連続した数字を追​​加すると、プラットフォーム上の次の投稿に無期限にアクセスできます。 認証やアクセス制限がなければ、攻撃者はサイト全体からすべての投稿、写真、ビデオ、およびデータをダウンロードするプログラムを簡単に構築できます。 これは単なる公開投稿(必ずしもアカウントの確認に使用されるIDではありません)でしたが、投稿からのジオロケーションデータもダウンロードされ、ユーザーの家のGPS座標が明らかになる可能性があります。  

IDORが切り取られるのをどのように防ぐことができますか?

「IDORを回避するには、堅牢なアクセス制御メカニズムを構築し、シナリオに最適な方法を選択し、すべてのアクセスをログに記録し、可能であれば承認後のチェックで監査を行う必要があります」と、オンラインでよく知られているHackerOneハッカーのManoel AbreuNetto氏は述べています。 @manoelt.

「ただし、IDORの影響を減らしたい場合は、単純なパターンを使用してバックエンドのオブジェクトを参照することは避けてください。したがって、順次整数値ではなく、uuidやMAC(ハッシュID)のようなものを使用します。 ユーザーセッションごと。

これによりIDORが排除されるわけではありませんが、全体的な影響とオブジェクトを列挙する機能が低下します。」

IDORの脆弱性を修正するために、以下にいくつかのベストプラクティスを示します。 

  1. 開発者は、キーやファイル名などのプライベートオブジェクト参照を表示しないようにする必要があります。
  2. パラメータの検証は適切に実装する必要があります。
  3. 参照されているすべてのオブジェクトの検証を確認する必要があります。
  4. トークンは、ユーザーにのみマップでき、公開されないように生成する必要があります。
  5. クエリのスコープがリソースの所有者であることを確認してください。 
  6. UUIDはIDORの脆弱性を検出できないことが多いため、シーケンシャルIDではなくUUID(ユニバーサル一意識別子)を使用するようなことは避けてください。

リスクの軽減とハッカーによるセキュリティの開始の詳細については、 ハッカーによるセキュリティから価値を引き出すためのCISOガイド.

タグ

ハッカー正午に参加

無料のアカウントを作成して、カスタムの読書体験のロックを解除します。

コインスマート。 BesteBitcoin-ヨーロッパのBörse
ソース:https://hackernoon.com/what-are-insecure-direct-object-references-idor-hz1j33e0?source = rss

サイバーセキュリティ

サイバー衛生、サイバーヒューマン&サイバーオートメーション

アバター

公開済み

on

ブックマークを追加




サイバーセキュリティハブは グローバルサミット ここでは、過去12〜14か月から学んだ教訓が、XNUMX日間にわたってすべてのプレゼンターによって共有されました。 衛生、人間、自動化のXNUMXつの一般的なテーマがありました。 何度も何度も、プレゼンターは、あなたが何をするか、何を実行するか、そしてあなたの衛生状態が嗅ぎタバコになっていないかどうかをどれだけ知っているかは問題ではないと提案しました。 他のXNUMXつのポイントは一致します-単純なものを自動化すると、人間の世話をし、燃え尽き症候群を回避することができます。

エピソードの概要:

F-Secureのサイバーセキュリティコンサルタントであるジェイソンジョンソンは、TF7ラジオホストのジョージレッタスに加わり、サイバーセキュリティ業界での人工知能の使用を分析します。 Johnsonは、現在セキュリティツールで使用されているAIの実際のアプリケーションを開梱し、セキュリティスタックでAIを使用することのリスクについて説明します。 ジョンソン氏は、組織がAIリスクを管理および軽減する方法、流行語が飛び交うことで価値のあるAI製品を分離する方法、さらには脅威アクターがAIを使用して攻撃を自動化する方法について話します。 タスクフォース181ラジオのエピソード#7でこれらすべてとはるかに。 AIは、サイバーセキュリティやその他の分野での雇用保障に脅威をもたらしますか? 人々はどのようにしてAIについて学び始めることができますか?

今すぐ聞く:

コインスマート。 BesteBitcoin-ヨーロッパのBörse
出典:https://www.cshub.com/executive-decisions/articles/hygiene-humans-automation

続きを読む

サイバーセキュリティ

クアルコムのチップバグがAndroidファンを盗聴に開放

アバター

公開済み

on

個人データの管理者は、Threatpost、Inc.、500 Unicorn Park、Woburn、MA 01801です。個人データの処理に関する詳細情報は、 プライバシーポリシーをご覧ください。。 さらに、ニュースレターの購読を確認するメッセージでそれらを見つけるでしょう。

コインスマート。 BesteBitcoin-ヨーロッパのBörse
ソース:https://threatpost.com/qualcomm-chip-bug-android-eavesdropping/165934/

続きを読む

サイバーセキュリティ

重大なCiscoSD-WAN、HyperFlexのバグが企業ネットワークを脅かす

アバター

公開済み

on

個人データの管理者は、Threatpost、Inc.、500 Unicorn Park、Woburn、MA 01801です。個人データの処理に関する詳細情報は、 プライバシーポリシーをご覧ください。。 さらに、ニュースレターの購読を確認するメッセージでそれらを見つけるでしょう。

コインスマート。 BesteBitcoin-ヨーロッパのBörse
出典:https://threatpost.com/critical-cisco-sd-wan-hyperflex-bugs/165923/

続きを読む

サイバーセキュリティ

質素な学生によって引き起こされたRyukランサムウェア攻撃

アバター

公開済み

on

個人データの管理者は、Threatpost、Inc.、500 Unicorn Park、Woburn、MA 01801です。個人データの処理に関する詳細情報は、 プライバシーポリシーをご覧ください。。 さらに、ニュースレターの購読を確認するメッセージでそれらを見つけるでしょう。

コインスマート。 BesteBitcoin-ヨーロッパのBörse
出典:https://threatpost.com/ryuk-ransomware-attack-student/165918/

続きを読む
支払い21分前

Bill.comがDivvyに2.5億ドルを支払ったのはなぜですか?

AR / VR23分前

仮想取引の未来と仕事への復帰

Blockchain31分前

XRP、ドージコイン、カルダノ価格分析:06月XNUMX日

Blockchain32分前

MUNCHプロジェクトが慈善寄付で1万ドルのマイルストーンに到達

エスポート43分前

ニューヨークサブライナーがコールオブデューティリーグステージ3グループプレイでオプティックシカゴを倒す

AR / VR47分前

DemeoはOculusストアをRiftとQuestの間でクロスバイします

サイバーセキュリティ52分前

サイバー衛生、サイバーヒューマン&サイバーオートメーション

PRニュースワイヤー59分前

Algonquin Power&Utilities Corp.は、普通株の10%増配を発表し、2021年第0.1706四半期の普通株配当を0.2094米ドル(2021カナダドル)と宣言し、XNUMX年第XNUMX四半期の優先株配当を宣言しました。

PRニュースワイヤー59分前

国営企業大臣のErickThohirが、PT Pertamina InternationalShippingを同社初のサブホールディング海運会社として発表

SPACインサイダー59分前

データナイツアクイジションコーポレーション(DKDCU)の価格100億ドルのIPO

Crowdfunding1時間前

GameStopped HearingパートIII:政策立案者の次は何ですか?

PRニュースワイヤー1時間前

日本の掘削機市場は696.82年までに2025億17000万米ドル成長する| XNUMX+ Technavio Research Reports

AI1時間前

セキュリティの脅威と見なされるディープフェイク地理の偽造衛星画像

PRニュースワイヤー1時間前

Customertimeserhältdrei「クラス最高」-AuszeichnungenimPOIの2021年小売販売実行ベンダーパノラマレポート

エスポート1時間前

フォーゴトンレルムのMTGアドベンチャーが4つの新しいコマンダープリコンでリリース

PRニュースワイヤー1時間前

ジーンシルバーズのAppleTVPlusドラマ「モスキートコースト」のゲスト出演

PRニュースワイヤー1時間前

アルテは、暗号通貨を受け入れるマイアミの最初の新しい開発になります

PRニュースワイヤー1時間前

キャタピラーとキャタピラー財団はCOVID-3.4救済で追加の19万ドルを寄付します

PRニュースワイヤー1時間前

ヘルスケアトラスト価格7.375%シリーズAの累積償還可能永久優先株式の公募

PRニュースワイヤー1時間前

一部のニューロンがアルツハイマー病で退化して死ぬのに、他のニューロンは死なないのはなぜですか?

医療機器1時間前

Becton Dickinsonは、1億ドルの糖尿病治療事業に別れを告げる準備をしています

バイオエンジニア1時間前

アイスランドのシャチにおけるPCB汚染:食事の問題

Fintech1時間前

リップルはクリスティーナキャンベルをCFOとして迎えます

PRニュースワイヤー1時間前

スピンマスター株式会社が取締役の選任を発表

PRニュースワイヤー1時間前

2026年までの世界的なラボラトリーオートメーション業界–ダナハー、パーキンエルマー、サーモフィッシャーなどをフィーチャー

PRニュースワイヤー1時間前

世界の爆発物探知装置市場は2.73年までに2025億17000万米ドル成長する| XNUMX+ Technavio Research Reports

エスポート1時間前

訴訟はソニーがデジタルプレイステーションのゲーム販売を独占したと非難する

AR / VR1時間前

DemeoはVR卓上ダンジョンクローラーであり、それは素晴らしいです

エスポート1時間前

Fortniteコンソールチャンピオンズカップが14月XNUMX日に開始

PRニュースワイヤー1時間前

MolecuLightannoncel'intégrationdesondispositifd'imagerie par蛍光i:X®auプログラムAPI d'analyse des tissus de Net Health

トレンド