Coder Conquer Security: Share & Learn-Serie: Unsichere direkte Objektreferenz
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
Table des matières
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
La puissance de la sécurité des applications OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.