Insecure direct object reference (IDOR) — это тип уязвимости управления доступом в цифровой безопасности. Она возникает, когда приложение предоставляет пользователю прямой доступ к объекту, к которому у него нет разрешения. Это может привести к краже данных, изменению данных или даже удалению данных.
Как работает IDOR?
IDOR возникает, когда приложение предоставляет пользователю прямой доступ к объекту, используя его идентификатор в качестве параметра запроса. Например, приложение может предоставлять пользователю доступ к конкретному пользователю, используя его идентификатор пользователя в качестве параметра запроса. Если злоумышленник знает идентификатор пользователя, он может использовать его для доступа к учетной записи пользователя, даже если у него нет разрешения.
Типы IDOR
Существует два основных типа IDOR:
- IDOR на основе идентификатора: Этот тип IDOR возникает, когда приложение предоставляет пользователю прямой доступ к объекту, используя его идентификатор в качестве параметра запроса.
- IDOR на основе пути: Этот тип IDOR возникает, когда приложение предоставляет пользователю прямой доступ к объекту, используя его путь в качестве параметра запроса.
Примеры IDOR
Вот несколько примеров IDOR:
- Приложение предоставляет пользователю доступ к конкретному пользователю, используя его идентификатор пользователя в качестве параметра запроса. Например, приложение может предоставлять пользователю доступ к профилю пользователя, используя его идентификатор пользователя в качестве параметра запроса.
- Приложение предоставляет пользователю доступ к конкретной записи в базе данных, используя ее идентификатор в качестве параметра запроса. Например, приложение может предоставлять пользователю доступ к записи о заказе, используя ее идентификатор в качестве параметра запроса.
- Приложение предоставляет пользователю доступ к конкретному файлу на сервере, используя его путь в качестве параметра запроса. Например, приложение может предоставлять пользователю доступ к файлу с конфигурацией, используя его путь в качестве параметра запроса.
Последствия IDOR
IDOR может иметь серьезные последствия, включая:
- Кража данных: Злоумышленник может использовать IDOR для кражи данных, таких как имена пользователей, пароли, номера кредитных карт и другие конфиденциальные данные.
- Изменение данных: Злоумышленник может использовать IDOR для изменения данных, таких как балансы счетов, оценки или другие важные данные.
- Удаление данных: Злоумышленник может использовать IDOR для удаления данных, таких как файлы, базы данных или другие важные данные.
Меры по предотвращению IDOR
Чтобы предотвратить IDOR, разработчики приложений должны следовать следующим рекомендациям:
- Используйте аутентификацию и авторизацию: Аутентификация и авторизация помогают гарантировать, что пользователи имеют доступ только к тем объектам, к которым у них есть разрешение.
- Используйте параметризованные запросы: Параметризованные запросы позволяют приложениям проверять параметры запроса перед их использованием.
- Используйте фильтры: Фильтры могут использоваться для проверки значений параметров запроса и предотвращения доступа к объектам, к которым у пользователя нет разрешения.
Заключение
IDOR — это серьезная уязвимость, которая может привести к краже данных, изменению данных или удалению данных. Разработчики приложений должны принимать меры по предотвращению IDOR, чтобы защитить свои приложения от атак.
- IDOR
- Insecure direct object reference
- Уязвимость управления доступом
- Прямая ссылка на объект
- Идентификатор пользователя
- Идентификатор записи
- Путь к файлу
- Кража данных
- Изменение данных
- Удаление данных
- Аутентификация
- Авторизация
- Параметризованные запросы
- Фильтры
WebОдна из наиболее важных уязвимостей, перечисленных в топ-10 OWASP, – это незащищенная уязвимость, связанная с прямой ссылкой на объект. WebЧто такое хеширование, шифрование, инкапсуляция? Знание Python, Metasploit, BurpSuit, Nmap, (Nikto, Acuntetix, w3af), hydra Как найти SQLi, виды. WebIDOR is a complex vulnerability to find and also to mitigate. So, I’ll try to explain the 3 approaches as mitigation of IDOR: First of all, the main point of IDOR is. WebLDAP (или Lightweight Directory Access Protocol) – открытый протокол, используемый для хранения и извлечения данных из иерархической структуры. WebВ этом материале мы выделим пять популярных типов уязвимостей, с которыми может столкнуться любой веб-сайт, и поделимся способами, которые. WebЧто такое ctf Традиционный СTF, Capture The Flag, — это соревнование по спортивному хакингу. Но мы сделали соревнование для тех, кто не.
Анна Васильева — Поиск уязвимостей IDOR (BOLA)
Source: Youtube.com
Мастер-класс по IDOR-уязвимостям, Лёша Румак
Source: Youtube.com
что такое Idor, Анна Васильева — Поиск уязвимостей IDOR (BOLA), 60.79 MB, 44:16, 1,727, Heisenbug, 2023-03-10T12:32:50.000000Z, 2, IDOR tutorial hands-on – OWASP Top 10 training – thehackerish, 1280 x 720, png, idor owasp february, 3, %d1%87%d1%82%d0%be-%d1%82%d0%b0%d0%ba%d0%be%d0%b5-idor
что такое Idor. Webidor — что это такое и с чем его едят Начну с основ. Веб-приложение манипулирует некими сущностями. Web— Что такое idor? — Как найти данную уязвимость в своём веб-приложении? — Что можно сделать, чтобы защититься от idor? Как работают. WebInsecure Direct Object Reference (IDOR) — очень распространённый вид недостатков авторизационной логики приложения. Потенциальный ущерб от.
Ближайшая конференция: Heisenbug 2023 Autumn — 10–11 октября (online), 15–16 октября (offline)
Подробности и билеты: bit.ly/3qd3swV
— —
Дополнительные навыки в нагрузочном тестировании, производительности, UX, безопасности, автоматизации и так далее помогают QA эффективнее повышать качество в своем продукте. QA, имея знания в тестировании безопасности, может быть евангелистом безопасности в своей команде (Security Champion).
С чего обычно начинают знакомиться с тестированием безопасности — пентестом? Пробуют перебрать пароли от какого-либо сервиса (брутфорс). Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert(‘XSS’);.
Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.
На мастер-классе вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.
Для участия в мастер-классе необходимо:
Поставить Burp Suite Community: portswigger.net/burp/releases/professional-community-2022-8-2?requestededition=community&requestedplatform=
Настроить проксирование Burp: portswigger.net/burp/documentation/desktop/tools/proxy/getting-started
Установить расширение Autorize:
— Скачать jython standalon: jython.org/download.html
— На вкладке Extender/Options добавить его в Python Enviroment
— Перейти на вкладку Extender/BApp Store — выбрать слева Autorize, справа нажать install.
#security #pentest #idor #owasp_top_10
что такое Idor, WebLDAP (или Lightweight Directory Access Protocol) – открытый протокол, используемый для хранения и извлечения данных из иерархической структуры. WebВ этом материале мы выделим пять популярных типов уязвимостей, с которыми может столкнуться любой веб-сайт, и поделимся способами, которые. WebЧто такое ctf Традиционный СTF, Capture The Flag, — это соревнование по спортивному хакингу. Но мы сделали соревнование для тех, кто не.
IDOR tutorial hands-on – OWASP Top 10 training – thehackerish – Source: thehackerish.com
The Art of IDOR: 7 IDORs in Edm0d0 | by Pratyush Anjan Sarangi | Medium – Source: medium.com
A Short Story of IDOR To Account Takeover | by Jeya Seelan | InfoSec – Source: medium.com