Небезопасная прямая ссылка на объект
Небезопасная прямая ссылка на объект ( IDOR ) — это тип контроля доступа уязвимости в цифровой безопасности. [1]
Это может произойти, когда веб-приложение или интерфейс прикладного программирования использует идентификатор для прямого доступа к объекту во внутренней базе данных , но не проверяет контроль доступа или аутентификацию . Например, если URL-адрес запроса , отправленный на веб-сайт напрямую, использует легко перечисляемый уникальный идентификатор (например, http://foo.com/doc/1234
), который может предоставить эксплойт для непреднамеренного доступа ко всем записям.
Атака с обходом каталога считается частным случаем IDOR. [2]
Эта уязвимость вызывает настолько серьезную озабоченность, что на протяжении многих лет она входила в десятку крупнейших уязвимостей проекта Open Web Application Security Project (OWASP). [3]
Примеры [ править ]
В ноябре 2020 года фирма Silent Breach обнаружила уязвимость IDOR на веб-сайте Министерства обороны США и в частном порядке сообщила об этом через Программу раскрытия уязвимостей Министерства обороны США. Ошибка была исправлена путем добавления в систему учетных записей механизма пользовательских сеансов, который сначала требовал аутентификации на сайте. [4]
Сообщалось, что Parler служба социальной сети использовала последовательные идентификаторы сообщений, и это позволило извлечь терабайты данных из службы в январе 2021 года. Исследователь, ответственный за проект, заявил, что это неточно. [5] [6]
Ссылки [ править ]
- ^ «Небезопасные прямые ссылки на объекты (IDOR) | Академия веб-безопасности» . www.portswigger.net . Проверено 12 января 2021 г.
- ^ Каранде, Четан. «Защита приложений узла — 4. Небезопасные прямые ссылки на объекты» . www.oreilly.com . Проверено 12 января 2021 г.
- ^ Соломон, Ховард (12 января 2021 г.). «Обычная ошибка разработки, вероятно, привела к масштабной краже данных Парлера, — говорит эксперт | IT World Canada News» . www.itworldcanada.com . Проверено 12 января 2021 г. [ постоянная мертвая ссылка ]
- ^ Чимпану, Каталин. «Охотник за ошибками получил награду «Исследователь месяца» за ошибку, связанную с захватом учетной записи Министерства обороны» . ЗДНет . Проверено 12 января 2021 г.
- ^ Гринберг, Энди (12 января 2021 г.). «Абсурдная базовая ошибка, позволяющая любому захватить все данные Парлера» . Проводной . Архивировано из оригинала 12 января 2021 года . Проверено 12 января 2021 г.
- ^ @donk_enby (30 января 2021 г.). "также во многих новостях утверждалось, что идентификаторы сообщений были последовательными. Это не так, но: https://github.com/d0nk/parler-tricks/blob/main/parler/conversion.py#L22 (только эта конечная точка) существовал в их приложении для iOS и на самом деле ни для чего не использовался)» ( твит ). Архивировано из оригинала 30 января 2021 года . Проверено 12 февраля 2021 г. - через Twitter .