Coder Conquer Security: Share & Learn-Serie: Unsichere direkte Objektreferenz
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
URLs sind für die Navigation auf allen Websites und Webanwendungen, die wir kennen und lieben, unerlässlich. Ihre grundlegende Funktion besteht darin, festzustellen, wo sich Ressourcen befinden und wie sie abgerufen werden können. URLs sind zwar notwendig, damit das World Wide Web funktioniert, aber sie können auch ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß gesichert sind.
In diesem Beitrag werden wir lernen:
- Was ist IDOR und wie verwenden Angreifer IDOR
- Warum IDOR gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit beheben können
Verstehe IDOR
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Zum Beispiel könnten Sie etwas wie „? id=12345" am Ende einer URL. Die Nummer 12345 ist ein Verweis auf einen bestimmten Datensatz. Sicherheitslücken schleichen sich ein, wenn die Zugriffskontrolle für einzelne Datensätze nicht vorhanden ist. Dadurch können Benutzer auf Datensätze und Daten zugreifen, die sie nicht sehen sollten. Dies ist ein Angriff, der ein relativ niedriges Qualifikationsniveau erfordert.
Nehmen wir in diesem Fall an, ein Angreifer ändert die ID in der URL auf 12344. In einer Anwendung, die für IDOR anfällig ist, könnte der Angreifer die zu diesem Datensatz gehörenden Daten sehen.
Wie viel Schaden kann diese Art von Sicherheitslücke wirklich anrichten?
Erfahren Sie, warum IDOR gefährlich ist
Wenn Entwickler nicht vorsichtig sind, können sie ein System entwerfen, das Anwendungsdatensätze an verschiedenen Stellen anzeigt und durchsickert. Ein Verstoß dieser Größenordnung kann erheblich sein, insbesondere wenn es sich um sensible Daten oder personenbezogene Daten handelt.
Das australische Finanzamt eine Website einrichten um Unternehmen bei der Erhebung einer neuen Steuer zu unterstützen. Leider war es mit dem unerwünschten Merkmal einer IDOR-Sicherheitslücke ausgestattet. Ein wissbegieriger Benutzer stellte fest, dass die URLs auf der Website seine australische Geschäftsnummer (ABN) enthielten. Zufällig ist dies eine leicht auffindbare Nummer für jedes registrierte Unternehmen. Dieser Benutzer hat beschlossen, die Nummern anderer Unternehmen in die URL aufzunehmen. Er erhielt ihre Bankkontoinformationen und persönlichen Daten!
Apple ist kürzlich einer IDOR-Sicherheitslücke zum Opfer gefallen. Als das iPad zum ersten Mal veröffentlicht wurde, waren 114.000 Kunden-E-Mail-Adressen durchgesickert. (Um fair zu sein, war es eher ein Fehler von AT&T).
Sie sehen, AT & T hat einen Dienst zur Unterstützung der 3G-Konnektivität für iPads entwickelt. Das iPad sendete eine auf der SIM-Karte gespeicherte Kennung an den Dienst von AT & T. Der Dienst gab dann die E-Mail-Adresse des Benutzers zurück.
Leider waren diese Bezeichner einfach sequentielle Ganzzahlen und waren daher leicht zu erraten. Die Angreifer durchsuchten die Identifikatoren und stahlen die E-Mail-Adressen.
Ein weiterer Fehler war, dass der Dienst von AT & T versuchte, den Dienst zu „sichern“, indem er die E-Mail-Adresse nur zurückgab, wenn die Anfrage User-Agent-Header gab an, dass es von einem iPad kam. Der User-Agent ist nur ein Zeichenkettenwert, der leicht manipuliert werden kann.
IDOR-Sicherheitslücken können subtil und hinterhältig sein. Lassen Sie uns besprechen, wie wir sie besiegen können.
IDOR besiegen
Zugangskontrolle ist der Schlüssel zur Lösung von IDOR. Wenn ein Benutzer einen bestimmten Datensatz anfordert, stellen Sie sicher, dass er berechtigt ist, den angeforderten Datensatz einzusehen.
Die Verwendung zentralisierter Autorisierungsmodule ist der beste Weg, dies zu tun. Tools wie Sicherheit im Frühling bieten eine robuste und anpassbare Authentifizierung und Autorisierung für Anwendungen.
Fazit: Verwenden Sie ein Modul, auf das der gesamte andere Code angewiesen ist, um Autorisierungsprüfungen durchzuführen.
Eine weitere häufige Abschwächung ist die Verwendung von Surrogatreferenzen. Anstatt die tatsächlichen Identifikatoren der Datenbankeinträge in Ihren URLs zu verwenden, können Sie Zufallszahlen erstellen, die den tatsächlichen Datensätzen zugeordnet werden.
Die Verwendung von Surrogat-Referenzen stellt sicher, dass ein Angreifer nicht zu einem Datensatz gelangen kann, indem er einfach den nächsten gültigen Bezeichner erraten muss.
Und schließlich sollten Sie sich nicht auf irgendetwas verlassen, das der Benutzer manipulieren kann, um die Autorisierung zu erteilen. AT&T hat versucht, den User-Agent-Header zu verwenden, um ihren Dienst zu autorisieren. Verlassen Sie sich nicht auf HTTP-Header, Cookies oder GET- und POST-Parameter.
Mit diesen Schutzmaßnahmen wird IDOR der Vergangenheit angehören.
Sichern Sie sich Ihre Referenzen
Unsichere direkte Objektverweise sind eine der am leichtesten ausnutzbaren Sicherheitslücken. Lassen Sie sich nicht von ihnen an Sie heranschleichen, wenn Sie es am wenigsten erwarten. Vergewissern Sie sich immer, dass Benutzer autorisiert sind. Verwenden Sie keine echten Datenbank-Identifikatoren. Verlassen Sie sich bei der Autorisierung nicht auf benutzergesteuerte Daten.
Erweitere dein Können, indem du unsere Ressourcen zum Lernen. Wenn Sie üben, wie Sie IDOR-Schwachstellen in der Sprache Ihrer Wahl minimieren können, werden Sie dieses Problem problemlos in Ihren Produktionscodebasen finden und beheben können. Sie können Ihr neu gewonnenes Verteidigungswissen auch mit einer kostenlosen Demo der Secure Code Warrior-Plattform auf die Probe stellen, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Schurkengalerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Sicherer Code Warrior-Blog.
Bereit, sich jetzt gegen IDOR-Angriffe zu verteidigen? Gehe zur Plattform und fordere dich selbst kostenlos heraus: [Fangen Sie hier an]
Table des matières
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
