Güvensiz Doğrudan Nesne Referansları (veya IDOR), büyük bir etki yaratan basit bir hatadır. İstismar edildiğinde, saldırganlara hassas verilere veya parolalara erişim sağlayabilir veya onlara bilgileri değiştirme yeteneği verebilir. HackerOne'da her ay 200'den fazla bulunur ve müşterilere güvenle rapor edilir.
IDOR nedir?
Aşağıdakiler dahil birkaç IDOR saldırısı türü vardır:
- Vücut Manipülasyonu, saldırganların diğer kullanıcılardan gelen bilgilere kolaylıkla erişmek için bir onay kutusunun, radyo düğmelerinin, API'lerin ve form alanlarının değerini değiştirdiği.
- URL Kurcalama, burada URL, istemcinin sonunda HTTP isteğindeki parametrelerde ince ayar yapılarak değiştirilir.
- HTTP İstekleri IDOR güvenlik açıklarının tipik olarak GET, POST, PUT ve DELETE fiillerinde bulunduğu.
- Toplu Atama, kullanıcının erişememesi gereken verileri değiştirmek için bir kayıt kalıbının kötüye kullanılabileceği durumlarda. Her zaman IDOR güvenlik açıklarının bir sonucu olmasa da, bunun sonucu olmasının birçok güçlü örneği vardır.
En basit ve en yaygın haliyle, bir IDOR güvenlik açığı, içeriğe erişmek veya içeriğin değiştirilmesi için gereken tek girdi kullanıcıdan olduğunda ortaya çıkar. Bu güvenlik açığı Kaliforniya merkezli hacker Rojan Rijal (aka @hayalhanemersin) 2018'de mükemmel bir örnek.
Rojan, Shopify'ın Exchange Marketplace uygulamasına bir sorgu gönderirken dosya eklerinin nasıl etiketlendiğini gözlemleyerek, farklı hesaplardan aynı dosya adını kullanarak belgeleri değiştirmeyi başardı.
Şekil 1: @rijalrojan tarafından HackerOne platformunda Shopify'a bildirilen IDOR güvenlik açığı.
Perakende ve e-ticaret şirketleri için, IDOR güvenlik açıkları, kuruluşların ödediği ödüllerin% 15'ini temsil etmekte ve hükümet (% 18), tıbbi teknoloji (% 36) ve profesyonel hizmetler (% 31) sektörlerindeki programlar için en yüksek güvenlik açığını temsil etmektedir.
Bu kadar basitlerse, neden bu kadar yaygındırlar?
Kısacası, IDOR'lar tek başına araçlarla tespit edilemez.
IDOR'lar, onları tanımlamak için yaratıcılık ve manuel güvenlik testi gerektirir. Hedef uygulamanın iş bağlamını anlamanızı gerektirirler. Bazı tarayıcılar etkinliği algılayabilirken, analiz etmek, değerlendirmek ve yorumlamak bir insan gözü gerektirir. Daha derin bağlamı anlamak, makinelerin kopyalayamayacağı, doğuştan insani bir beceridir. Geleneksel pentestlerde, bir pentester her istek uç noktasında olası her parametreyi test etmediği sürece, bu güvenlik açıkları tespit edilmeyebilir.
Bir IDOR güvenlik açığının etkileri nelerdir?
Belki de son zamanlarda en kötü şöhretli IDOR güvenlik açığı, alt-teknoloji sosyal medya platformu Parler'da bulunanlardır. Şirket, gönderilerini IDOR'un açıklayıcı bir işareti olan URL'deki numaraya göre sıraladı. Bir Parler gönderi URL'sine sıralı bir rakam eklerseniz, platformdaki bir sonraki gönderiye süresiz olarak erişebilirsiniz. Kimlik doğrulama veya erişim sınırları olmadan bir saldırgan, sitenin tamamından her gönderiyi, fotoğrafı, videoyu ve veriyi indirmek için kolayca bir program oluşturabilir. Bu sadece herkese açık gönderiler olsa da (hesapları doğrulamak için kullanılan kimliklerin kullanılması gerekmez), gönderilerden coğrafi konum verileri de indirildi, bu da kullanıcıların evlerinin GPS koordinatlarını ortaya çıkarabilir.
IDOR'ların kırpılmasını nasıl önleyebilirsiniz?
HackerOne hacker'ı Manoel Abreu Netto, "IDOR'den kaçınmak ancak sağlam bir erişim kontrol mekanizması oluşturmak, senaryonuz için en uygun metodolojiyi seçmek, tüm erişimi kaydetmek ve mümkünse yetkilendirme sonrası kontrol ile bir denetim yapmakla mümkündür" dedi. @yavbirah.
"Bununla birlikte, bir IDOR'un etkisini azaltmak istiyorsanız, arka uçtaki nesnelere başvurmak için basit bir model kullanmaktan kaçının, dolayısıyla sıralı bir tamsayı değeri kullanmaktan, uuid veya hatta bir MAC (karma kimlik) gibi bir şey kullanmaktan kaçının. tuz kullanıcı oturumu başına.
Bu, IDOR'u ortadan kaldırmaz, ancak genel etkiyi ve nesneleri numaralandırma yeteneğini azaltır. "
IDOR güvenlik açıklarını gidermek için aşağıda birkaç en iyi uygulama verilmiştir.
- Geliştiriciler, anahtarlar veya dosya adları gibi özel nesne referanslarını görüntülemekten kaçınmalıdır.
- Parametrelerin doğrulanması uygun şekilde uygulanmalıdır.
- Referans verilen tüm nesnelerin doğrulanması kontrol edilmelidir.
- Belirteçler, yalnızca kullanıcıya eşlenebilecek ve herkese açık olmayacak şekilde oluşturulmalıdır.
- Sorguların kaynağın sahibini kapsadığından emin olun.
- Sıralı Kimlikler yerine UUID'leri (Evrensel olarak benzersiz tanımlayıcı) kullanmak gibi şeylerden kaçının, çünkü UUID'ler genellikle IDOR güvenlik açıklarının tespit edilmemesine izin verir.
Riski azaltma ve bilgisayar korsanı tarafından desteklenen güvenliğe başlama hakkında daha fazla bilgi için Hacker Destekli Güvenlikten Değer Elde Etme CISO Kılavuzu.
Etiketler
Özel okuma deneyiminizin kilidini açmak için ücretsiz hesabınızı oluşturun.
Coinsmart. Europa İçindeki En İyi Bitcoin-Börse
Kaynak: https://hackernoon.com/what-are-insecure-direct-object-references-idor-hz1j33e0?source=rss
