Coder Conquer Security: Share & Learn-Serie: Unsichere direkte Objektreferenz
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
목차
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
