DOI: https://doi.org/10.36719/2789-6919/32/192-196

Vüsal Rəhimli

Azərbaycan Texniki Universiteti

[email protected] 


IDOR (INSECURE DIRECT OBJECT REFERENCES) ÜMUMİ NÖVLƏRİ, TƏSİRLƏRİ VƏ HÜCUMLARI


Xülasə

IDOR Təhlükəsiz Birbaşa Obyekt Referansları deməkdir ki, bu da proqram müvafiq təsdiq və ya icazə olmadan obyektlərə birbaşa daxil olmaq üçün istifadəçi girişindən istifadə etdikdə baş verən təhlükəsizlik zəifliyinin bir növüdür. Bu, təcavüzkarlara giriş nəzarətlərini yan keçməyə və həssas məlumat və ya funksionallığa icazəsiz giriş əldə etməyə imkan verə bilər. IDOR, istifadəçi tərəfindən təmin edilən daxiletmə ilə məşğul olan REST proqramlarında ümumi zəifliklərdən biridir. 

Təhlükəsiz Birbaşa Obyekt Referansları (IDOR) veb proqramlardakı həssas resurslara icazəsiz girişə səbəb ola biləcək kritik təhlükəsizlik zəifliyidir. Bu bloq yazısında Java proqramlarında real həyat kimi IDOR ssenarilərini müzakirə ediləcək, bəzi zəiflikləri tapmaq nisbətən asan, digərləri isə daha çətin olur. Burada həssas ssenariləri təmsil edən kod parçaları təqdim ediləcək və onları təhlükəsiz şəkildə necə düzəlir nümayiş olunacaq. Bundan əlavə, PRD təhlükəsizlik baxışları kimi erkən mərhələlərdə IDOR zəifliklərini azaltmaq üçün Təhlükəsiz Proqram Təminatının İnkişafı Həyat Dövründə (SSDLC) müxtəlif yanaşmalar araşdırılacaq.

Açar sözlər: IDOR, verilənlər bazası, jаvascript Obyekt Notasiyası, IDOR hücumları, kod baxışları, sorğu parametrləri


Vusal Rahimli

Azerbaijan Technical University

[email protected]


IDOR (Insecure Direct Object References) common types, constructions and attacks


Abstract

IDOR defines Safe Direct Object References, which use user access to access objects without requiring software or input. This may allow investigators to gain access to data or functionality obtained after access control. IDOR is a common vulnerability in REST applications that deal with input provided by

Insecure Direct Object References (IDOR) is a critical security vulnerability that can lead to unauthorized access to sensitive resources in web applications. This blog post will discuss real-life IDOR scenarios in Java applications, where some vulnerabilities are relatively easy to find, while others are more difficult. Here, code snippets representing vulnerable scenarios will be presented and how to fix them safely. Additionally, various approaches in the Secure Software Development Lifecycle (SSDLC) will be explored to mitigate IDOR vulnerabilities at early stages such as PRD security reviews.

Keywords: IDOR, database, jаvascript Object Notation, IDOR attacks, code reviews, query parameters

MƏQALƏNİ YÜKLƏ [531,35 Kb] (yüklənib: 19)



Baxış: 64
Ünvan:
AZ1073. Bakı ş., Yasamal r-nu,
Mətbuat pr., 529-cu məhəllə
“Azərbaycan” nəşriyyatı, 6-cı mərtəbə
Tel.:    +994 12 510 63 99
Mob.: +994 50 209 59 68
           +994 55 209 59 68
© 2019 AEM
E-mail:
[email protected], [email protected]