IDOR (INSECURE DIRECT OBJECT REFERENCES) ÜMUMİ NÖVLƏRİ, TƏSİRLƏRİ VƏ HÜCUMLARI

IDOR Təhlükəsiz Birbaşa Obyekt Referansları deməkdir ki, bu da proqram müvafiq təsdiq və ya icazə olmadan obyektlərə birbaşa daxil olmaq üçün istifadəçi girişindən istifadə etdikdə baş verən təhlükəsizlik zəifliyinin bir növüdür. Bu, təcavüzkarlara giriş nəzarətlərini yan keçməyə və həssas məlumat və ya funksionallığa icazəsiz giriş əldə etməyə imkan verə bilər. IDOR, istifadəçi tərəfindən təmin edilən daxiletmə ilə məşğul olan REST proqramlarında ümumi zəifliklərdən biridir.

Təhlükəsiz Birbaşa Obyekt Referansları (IDOR) veb proqramlardakı həssas resurslara icazəsiz girişə səbəb ola biləcək kritik təhlükəsizlik zəifliyidir. Bu bloq yazısında Java proqramlarında real həyat kimi IDOR ssenarilərini müzakirə ediləcək, bəzi zəiflikləri tapmaq nisbətən asan, digərləri isə daha çətin olur. Burada həssas ssenariləri təmsil edən kod parçaları təqdim ediləcək və onları təhlükəsiz şəkildə necə düzəlir nümayiş olunacaq. Bundan əlavə, PRD təhlükəsizlik baxışları kimi erkən mərhələlərdə IDOR zəifliklərini azaltmaq üçün Təhlükəsiz Proqram Təminatının İnkişafı Həyat Dövründə (SSDLC) müxtəlif yanaşmalar araşdırılacaq.

Açar sözlər: IDOR, verilənlər bazası, jаvascript Obyekt Notasiyası, IDOR hücumları, kod baxışları, sorğu parametrləri

Vusal Rahimli

Azerbaijan Technical University

rahimlivusal2001@gmail.com

IDOR (Insecure Direct Object References) common types, constructions and attacks

Abstract

IDOR defines Safe Direct Object References, which use user access to access objects without requiring software or input. This may allow investigators to gain access to data or functionality obtained after access control. IDOR is a common vulnerability in REST applications that deal with input provided by

Insecure Direct Object References (IDOR) is a critical security vulnerability that can lead to unauthorized access to sensitive resources in web applications. This blog post will discuss real-life IDOR scenarios in Java applications, where some vulnerabilities are relatively easy to find, while others are more difficult. Here, code snippets representing vulnerable scenarios will be presented and how to fix them safely. Additionally, various approaches in the Secure Software Development Lifecycle (SSDLC) will be explored to mitigate IDOR vulnerabilities at early stages such as PRD security reviews.

Keywords: IDOR, database, jаvascript Object Notation, IDOR attacks, code reviews, query parameters

MƏQALƏNİ YÜKLƏ [531,35 Kb] (yüklənib: 28)

Onlayn bax

Baxış: 138

Redaktə et