Jump to content

Небезопасная прямая ссылка на объект

Небезопасная прямая ссылка на объект ( IDOR ) — это тип контроля доступа уязвимости в цифровой безопасности. [1]

Это может произойти, когда веб-приложение или интерфейс прикладного программирования использует идентификатор для прямого доступа к объекту во внутренней базе данных , но не проверяет контроль доступа или аутентификацию . Например, если URL-адрес запроса , отправленный на веб-сайт напрямую, использует легко перечисляемый уникальный идентификатор (например, http://foo.com/doc/1234), который может предоставить эксплойт для непреднамеренного доступа ко всем записям.

Атака с обходом каталога считается частным случаем IDOR. [2]

Эта уязвимость вызывает настолько серьезную озабоченность, что на протяжении многих лет она входила в десятку крупнейших уязвимостей проекта Open Web Application Security Project (OWASP). [3]

Примеры [ править ]

В ноябре 2020 года фирма Silent Breach обнаружила уязвимость IDOR на веб-сайте Министерства обороны США и в частном порядке сообщила об этом через Программу раскрытия уязвимостей Министерства обороны США. Ошибка была исправлена ​​путем добавления в систему учетных записей механизма пользовательских сеансов, который сначала требовал аутентификации на сайте. [4]

Сообщалось, что Parler служба социальной сети использовала последовательные идентификаторы сообщений, и это позволило извлечь терабайты данных из службы в январе 2021 года. Исследователь, ответственный за проект, заявил, что это неточно. [5] [6]

Ссылки [ править ]

  1. ^ «Небезопасные прямые ссылки на объекты (IDOR) | Академия веб-безопасности» . www.portswigger.net . Проверено 12 января 2021 г.
  2. ^ Каранде, Четан. «Защита приложений узла — 4. Небезопасные прямые ссылки на объекты» . www.oreilly.com . Проверено 12 января 2021 г.
  3. ^ Соломон, Ховард (12 января 2021 г.). «Обычная ошибка разработки, вероятно, привела к масштабной краже данных Парлера, — говорит эксперт | IT World Canada News» . www.itworldcanada.com . Проверено 12 января 2021 г. [ постоянная мертвая ссылка ]
  4. ^ Чимпану, Каталин. «Охотник за ошибками получил награду «Исследователь месяца» за ошибку, связанную с захватом учетной записи Министерства обороны» . ЗДНет . Проверено 12 января 2021 г.
  5. ^ Гринберг, Энди (12 января 2021 г.). «Абсурдная базовая ошибка, позволяющая любому захватить все данные Парлера» . Проводной . Архивировано из оригинала 12 января 2021 года . Проверено 12 января 2021 г.
  6. ^ @donk_enby (30 января 2021 г.). "также во многих новостях утверждалось, что идентификаторы сообщений были последовательными. Это не так, но: https://github.com/d0nk/parler-tricks/blob/main/parler/conversion.py#L22 (только эта конечная точка) существовал в их приложении для iOS и на самом деле ни для чего не использовался)» ( твит ). Архивировано из оригинала 30 января 2021 года . Проверено 12 февраля 2021 г. - через Twitter .


Значок заглушки

Эта о компьютерной безопасности статья незавершена . Вы можете помочь Википедии, расширив ее .

Retrieved from "https://en.wikipedia.org/w/index.php?title=Insecure_direct_object_reference&oldid=1171956060"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 7c5a2d622594ac99f1bb345f62532f4c__1692839460
URL1:https://arc.ask3.ru/arc/aa/7c/4c/7c5a2d622594ac99f1bb345f62532f4c.html
Заголовок, (Title) документа по адресу, URL1:
Insecure direct object reference - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)