IDOR staat voor Insecure Direct Object Reference, een van de meest voorkomende kwetsbaarheden bij webapplicaties. Een IDOR komt meestal voor als input van de gebruiker (of gekoppeld aan de gebruiker) rechtstreeks wordt gebruikt om naar een object (bijvoorbeeld een document zoals een PDF bestand) te verwijzen.

Het verwijst naar een beveiligingslek in webapplicaties waarbij een aanvaller toegang kan krijgen tot gevoelige gegevens of documenten door directe verwijzingen naar interne objecten te manipuleren, zonder de juiste autorisatie of authenticatie.

Bij een IDOR-aanval kan een aanvaller bijvoorbeeld de ID-parameter in een URL wijzigen om toegang te krijgen tot gegevens of bronnen die normaal gesproken niet voor hen bedoeld zijn. Dit kan leiden tot de onbedoelde openbaarmaking van vertrouwelijke informatie zoals persoonlijke gegevens van gebruikers, financiële gegevens of andere gevoelige informatie.

Een simpel voorbeeld

Een website stelt aan een gebruiker gebonden documenten ter beschikking middels een pagina die wordt opgevraagd met de url:

https://www.beveiligdeoverheidsgegevensonline.voorbeeld/toondocumenten.php?uid=145

Wat opvalt is dat er gebruikt wordt gemaakt Van Een parameter genaamd “uid” welke een niet versleutelde numerieke waarde bevat. Zeer waarschijnlijk is dus dat deze waarde een oplopende waarde is die automatisch aan gebruikers wordt toegekend op het moment van registratie. Stel nu dat we url aanpassen naar:

https://www.beveiligdeoverheidsgegevensonline.voorbeeld/toondocumenten.php?uid=146

Indien de website een goed toegangscontrolesysteem heeft dan zou er een foutmelding moeten verschijnen omdat er documenten opgevraagd worden van een andere gebruiker. Gebeurt dat niet dan spreken we van een IDOR kwetsbaarheid.

Dit is een simpel voorbeeld en soms moet er net iets meer moeite gedaan worden om een IDOR te vinden omdat deze bijvoorbeeld door codering minder leesbaar is maar het geeft de essentie weer.

Het gevaar van IDOR

IDOR kwetsbaarheden kunnen een aanzienlijke impact hebben op webapplicaties. Het meest simpele voorbeeld van een IDOR-kwetsbaarheid is het toegang krijgen tot zaken van andere gebruikers die niet voor ons toegankelijk zouden moeten zijn. Denk aan bovengenoemde bestanden of gegevens zoals creditcard data.

In sommige gevallen kan het zelfs leiden tot het een mogelijkheid om gegevens van andere te bewerken of zelfs tot accountovername.

Het is van belang voor ontwikkelaars van webapplicaties om adequate beveiligingsmaatregelen te implementeren om IDOR-aanvallen te voorkomen. Dit omvat het gebruik van autorisatierestricties, het valideren van input van de gebruiker, het toepassen van authenticatiecontroles en het implementeren van een veilige toegangscontrole op objecten binnen de applicatie.

Daarnaast is het belangrijk om regelmatig beveiligingstests uit te voeren om eventuele kwetsbaarheden te identificeren en te verhelpen en dat is weer onderdeel van een stukje compliance.

The post Uitleg: wat is IDOR (Insecure Direct Object Reference)? first appeared on Cybertilt.