Les codeurs conquièrent la sécurité : série Share & Learn : Référence directe d'objets non sécurisée
Les URL sont essentielles pour naviguer sur tous les sites Web et applications Web que nous connaissons et aimons. Leur fonction de base est d'identifier où se trouvent les ressources et comment les récupérer. Bien que les URL soient nécessaires au fonctionnement du World Wide Web, elles peuvent également présenter un risque de sécurité si elles ne sont pas correctement sécurisées.
Dans cet article, nous allons apprendre :
- Qu'est-ce qu'idor et comment les attaquants l'utilisent
- 为什么IDOR是危险的
- Techniques permettant de corriger cette vulnérabilité
Comprenez IDOR
Une référence directe à un objet se produit lorsqu'un enregistrement spécifique (l' « objet ») est référencé dans une application. Il prend généralement la forme d'un identifiant unique et peut apparaître dans une URL.
Par exemple, vous allez peut-être remarquer quelque chose comme « ? id=12345" à la fin d'une URL. Le numéro 12345 fait référence à un enregistrement spécifique. Les failles de sécurité apparaissent lorsque le contrôle d'accès n'est pas présent pour les enregistrements individuels. Cela permet aux utilisateurs d'accéder à des enregistrements et à des données qu'ils ne devraient pas voir. Il s'agit d'une attaque qui nécessite un niveau de compétence relativement faible.
Dans ce cas, supposons qu'un attaquant change l'ID de l'URL en 12344. Dans une application vulnérable à IDOR, l'attaquant pourrait voir les données relatives à cet enregistrement.
Quels dégâts ce type de vulnérabilité peut-il réellement causer ?
Découvrez pourquoi L'idor est dangereux
Lorsque les développeurs ne font pas attention, ils peuvent concevoir un système qui affiche et divulgue les enregistrements des applications à divers endroits. Une violation de cette ampleur peut être importante, en particulier lorsqu'il s'agit de données sensibles ou d'informations d'identification personnelle.
Le bureau des impôts australien create a Web site pour aider les entreprises à percevoir une nouvelle taxe. Malheureusement, il était livré avec la fonctionnalité indésirable d'une vulnérabilité IDOR. Un utilisateur curieux s'est rendu compte que les URL du site contenaient son numéro d'entreprise australien, ou ABN. Il se trouve qu'il s'agit d'un numéro facilement détectable pour toute entreprise enregistrée. Cet utilisateur a décidé de saisir les numéros d'autres entreprises dans l'URL. Il a reçu leurs informations de compte bancaire et leurs informations personnelles !
Apple a récemment été victime d'une vulnérabilité IDOR. Lorsque l'iPad est sorti pour la première fois, 114 000 adresses e-mail de clients ont été divulguées. (Pour être honnête, c'était plutôt une erreur de la part d'AT&T).
Vous voyez, AT&T a créé un service pour prendre en charge la connectivité 3G pour les iPad. L'iPad a envoyé un identifiant stocké sur la carte SIM au service d'AT&T. Le service a ensuite renvoyé l'adresse e-mail de l'utilisateur.
Malheureusement, ces identifiants n'étaient que des entiers séquentiels et étaient donc facilement devinables. Les attaquants ont parcouru les identifiants et ont volé les adresses e-mail.
Une autre erreur est que le service d'AT & T a essayé de « sécuriser » le service en ne renvoyant l'adresse e-mail que si la demande en-tête user-agent a indiqué qu'il provenait d'un iPad. L'agent utilisateur n'est qu'une valeur de chaîne qui peut être facilement manipulée.
Les vulnérabilités d'Idor peuvent être subtiles et sournoises. Discutons de la manière de les vaincre.
Vaincre l'IDOR
Le contrôle d'accès est la clé pour résoudre les problèmes d'Idor. Lorsqu'un utilisateur demande un enregistrement spécifique, assurez-vous qu'il est autorisé à consulter l'enregistrement demandé.
L'utilisation de modules d'autorisation centralisés est le meilleur moyen d'y parvenir. Des outils tels que Printanière Security fournir une authentification et une autorisation robustes et personnalisables pour les applications.
Conclusion : ayez un module sur lequel tous les autres codes s'appuient pour effectuer des contrôles d'autorisation.
Une autre mesure d'atténuation courante est l'utilisation de références de substitution. Au lieu d'utiliser les identifiants d'enregistrement de base de données réels dans votre URL, vous pouvez créer des nombres aléatoires qui correspondent aux enregistrements réels.
L'utilisation de références de substitution garantit qu'un attaquant ne peut pas accéder à un enregistrement simplement en devinant le prochain identifiant valide.
Enfin, ne vous fiez à rien que l'utilisateur puisse manipuler pour fournir une autorisation. AT&T a essayé d'utiliser l'en-tête de l'agent utilisateur pour autoriser son service. Ne vous fiez pas aux en-têtes HTTP, aux cookies ou aux paramètres GET et POST.
Une fois ces mesures d'atténuation mises en place, L'idor appartiendra au passé.
Sécurisez vos références
Les références directes aux objets non sécurisés constituent l'une des vulnérabilités les plus faciles à exploiter. Ne les laissez pas vous surprendre au moment où vous vous y attendez le moins. Vérifiez toujours que les utilisateurs sont autorisés. N'utilisez pas de véritables identifiants de base de données. Ne vous fiez pas aux données contrôlées par l'utilisateur pour l'autorisation.
Développez votre maîtrise en consultant notre Pédagogiques. En vous entraînant à atténuer les vulnérabilités IDOR dans le langage de votre choix, vous n'aurez aucun problème à trouver et à résoudre ce problème dans vos bases de code de production. Vous pouvez également mettre vos nouvelles connaissances en matière de défense à l'épreuve grâce à une démonstration gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à vous défendre contre les attaques d'Idor dès maintenant ? Rendez-vous sur la plateforme et lancez-vous un défi gratuit : [Commencez ici]
Une référence directe à un objet se produit lorsqu'un enregistrement spécifique (l' « objet ») est référencé dans une application. Il prend généralement la forme d'un identifiant unique et peut apparaître dans une URL.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Les URL sont essentielles pour naviguer sur tous les sites Web et applications Web que nous connaissons et aimons. Leur fonction de base est d'identifier où se trouvent les ressources et comment les récupérer. Bien que les URL soient nécessaires au fonctionnement du World Wide Web, elles peuvent également présenter un risque de sécurité si elles ne sont pas correctement sécurisées.
Dans cet article, nous allons apprendre :
- Qu'est-ce qu'idor et comment les attaquants l'utilisent
- 为什么IDOR是危险的
- Techniques permettant de corriger cette vulnérabilité
Comprenez IDOR
Une référence directe à un objet se produit lorsqu'un enregistrement spécifique (l' « objet ») est référencé dans une application. Il prend généralement la forme d'un identifiant unique et peut apparaître dans une URL.
Par exemple, vous allez peut-être remarquer quelque chose comme « ? id=12345" à la fin d'une URL. Le numéro 12345 fait référence à un enregistrement spécifique. Les failles de sécurité apparaissent lorsque le contrôle d'accès n'est pas présent pour les enregistrements individuels. Cela permet aux utilisateurs d'accéder à des enregistrements et à des données qu'ils ne devraient pas voir. Il s'agit d'une attaque qui nécessite un niveau de compétence relativement faible.
Dans ce cas, supposons qu'un attaquant change l'ID de l'URL en 12344. Dans une application vulnérable à IDOR, l'attaquant pourrait voir les données relatives à cet enregistrement.
Quels dégâts ce type de vulnérabilité peut-il réellement causer ?
Découvrez pourquoi L'idor est dangereux
Lorsque les développeurs ne font pas attention, ils peuvent concevoir un système qui affiche et divulgue les enregistrements des applications à divers endroits. Une violation de cette ampleur peut être importante, en particulier lorsqu'il s'agit de données sensibles ou d'informations d'identification personnelle.
Le bureau des impôts australien create a Web site pour aider les entreprises à percevoir une nouvelle taxe. Malheureusement, il était livré avec la fonctionnalité indésirable d'une vulnérabilité IDOR. Un utilisateur curieux s'est rendu compte que les URL du site contenaient son numéro d'entreprise australien, ou ABN. Il se trouve qu'il s'agit d'un numéro facilement détectable pour toute entreprise enregistrée. Cet utilisateur a décidé de saisir les numéros d'autres entreprises dans l'URL. Il a reçu leurs informations de compte bancaire et leurs informations personnelles !
Apple a récemment été victime d'une vulnérabilité IDOR. Lorsque l'iPad est sorti pour la première fois, 114 000 adresses e-mail de clients ont été divulguées. (Pour être honnête, c'était plutôt une erreur de la part d'AT&T).
Vous voyez, AT&T a créé un service pour prendre en charge la connectivité 3G pour les iPad. L'iPad a envoyé un identifiant stocké sur la carte SIM au service d'AT&T. Le service a ensuite renvoyé l'adresse e-mail de l'utilisateur.
Malheureusement, ces identifiants n'étaient que des entiers séquentiels et étaient donc facilement devinables. Les attaquants ont parcouru les identifiants et ont volé les adresses e-mail.
Une autre erreur est que le service d'AT & T a essayé de « sécuriser » le service en ne renvoyant l'adresse e-mail que si la demande en-tête user-agent a indiqué qu'il provenait d'un iPad. L'agent utilisateur n'est qu'une valeur de chaîne qui peut être facilement manipulée.
Les vulnérabilités d'Idor peuvent être subtiles et sournoises. Discutons de la manière de les vaincre.
Vaincre l'IDOR
Le contrôle d'accès est la clé pour résoudre les problèmes d'Idor. Lorsqu'un utilisateur demande un enregistrement spécifique, assurez-vous qu'il est autorisé à consulter l'enregistrement demandé.
L'utilisation de modules d'autorisation centralisés est le meilleur moyen d'y parvenir. Des outils tels que Printanière Security fournir une authentification et une autorisation robustes et personnalisables pour les applications.
Conclusion : ayez un module sur lequel tous les autres codes s'appuient pour effectuer des contrôles d'autorisation.
Une autre mesure d'atténuation courante est l'utilisation de références de substitution. Au lieu d'utiliser les identifiants d'enregistrement de base de données réels dans votre URL, vous pouvez créer des nombres aléatoires qui correspondent aux enregistrements réels.
L'utilisation de références de substitution garantit qu'un attaquant ne peut pas accéder à un enregistrement simplement en devinant le prochain identifiant valide.
Enfin, ne vous fiez à rien que l'utilisateur puisse manipuler pour fournir une autorisation. AT&T a essayé d'utiliser l'en-tête de l'agent utilisateur pour autoriser son service. Ne vous fiez pas aux en-têtes HTTP, aux cookies ou aux paramètres GET et POST.
Une fois ces mesures d'atténuation mises en place, L'idor appartiendra au passé.
Sécurisez vos références
Les références directes aux objets non sécurisés constituent l'une des vulnérabilités les plus faciles à exploiter. Ne les laissez pas vous surprendre au moment où vous vous y attendez le moins. Vérifiez toujours que les utilisateurs sont autorisés. N'utilisez pas de véritables identifiants de base de données. Ne vous fiez pas aux données contrôlées par l'utilisateur pour l'autorisation.
Développez votre maîtrise en consultant notre Pédagogiques. En vous entraînant à atténuer les vulnérabilités IDOR dans le langage de votre choix, vous n'aurez aucun problème à trouver et à résoudre ce problème dans vos bases de code de production. Vous pouvez également mettre vos nouvelles connaissances en matière de défense à l'épreuve grâce à une démonstration gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à vous défendre contre les attaques d'Idor dès maintenant ? Rendez-vous sur la plateforme et lancez-vous un défi gratuit : [Commencez ici]
Les URL sont essentielles pour naviguer sur tous les sites Web et applications Web que nous connaissons et aimons. Leur fonction de base est d'identifier où se trouvent les ressources et comment les récupérer. Bien que les URL soient nécessaires au fonctionnement du World Wide Web, elles peuvent également présenter un risque de sécurité si elles ne sont pas correctement sécurisées.
Dans cet article, nous allons apprendre :
- Qu'est-ce qu'idor et comment les attaquants l'utilisent
- 为什么IDOR是危险的
- Techniques permettant de corriger cette vulnérabilité
Comprenez IDOR
Une référence directe à un objet se produit lorsqu'un enregistrement spécifique (l' « objet ») est référencé dans une application. Il prend généralement la forme d'un identifiant unique et peut apparaître dans une URL.
Par exemple, vous allez peut-être remarquer quelque chose comme « ? id=12345" à la fin d'une URL. Le numéro 12345 fait référence à un enregistrement spécifique. Les failles de sécurité apparaissent lorsque le contrôle d'accès n'est pas présent pour les enregistrements individuels. Cela permet aux utilisateurs d'accéder à des enregistrements et à des données qu'ils ne devraient pas voir. Il s'agit d'une attaque qui nécessite un niveau de compétence relativement faible.
Dans ce cas, supposons qu'un attaquant change l'ID de l'URL en 12344. Dans une application vulnérable à IDOR, l'attaquant pourrait voir les données relatives à cet enregistrement.
Quels dégâts ce type de vulnérabilité peut-il réellement causer ?
Découvrez pourquoi L'idor est dangereux
Lorsque les développeurs ne font pas attention, ils peuvent concevoir un système qui affiche et divulgue les enregistrements des applications à divers endroits. Une violation de cette ampleur peut être importante, en particulier lorsqu'il s'agit de données sensibles ou d'informations d'identification personnelle.
Le bureau des impôts australien create a Web site pour aider les entreprises à percevoir une nouvelle taxe. Malheureusement, il était livré avec la fonctionnalité indésirable d'une vulnérabilité IDOR. Un utilisateur curieux s'est rendu compte que les URL du site contenaient son numéro d'entreprise australien, ou ABN. Il se trouve qu'il s'agit d'un numéro facilement détectable pour toute entreprise enregistrée. Cet utilisateur a décidé de saisir les numéros d'autres entreprises dans l'URL. Il a reçu leurs informations de compte bancaire et leurs informations personnelles !
Apple a récemment été victime d'une vulnérabilité IDOR. Lorsque l'iPad est sorti pour la première fois, 114 000 adresses e-mail de clients ont été divulguées. (Pour être honnête, c'était plutôt une erreur de la part d'AT&T).
Vous voyez, AT&T a créé un service pour prendre en charge la connectivité 3G pour les iPad. L'iPad a envoyé un identifiant stocké sur la carte SIM au service d'AT&T. Le service a ensuite renvoyé l'adresse e-mail de l'utilisateur.
Malheureusement, ces identifiants n'étaient que des entiers séquentiels et étaient donc facilement devinables. Les attaquants ont parcouru les identifiants et ont volé les adresses e-mail.
Une autre erreur est que le service d'AT & T a essayé de « sécuriser » le service en ne renvoyant l'adresse e-mail que si la demande en-tête user-agent a indiqué qu'il provenait d'un iPad. L'agent utilisateur n'est qu'une valeur de chaîne qui peut être facilement manipulée.
Les vulnérabilités d'Idor peuvent être subtiles et sournoises. Discutons de la manière de les vaincre.
Vaincre l'IDOR
Le contrôle d'accès est la clé pour résoudre les problèmes d'Idor. Lorsqu'un utilisateur demande un enregistrement spécifique, assurez-vous qu'il est autorisé à consulter l'enregistrement demandé.
L'utilisation de modules d'autorisation centralisés est le meilleur moyen d'y parvenir. Des outils tels que Printanière Security fournir une authentification et une autorisation robustes et personnalisables pour les applications.
Conclusion : ayez un module sur lequel tous les autres codes s'appuient pour effectuer des contrôles d'autorisation.
Une autre mesure d'atténuation courante est l'utilisation de références de substitution. Au lieu d'utiliser les identifiants d'enregistrement de base de données réels dans votre URL, vous pouvez créer des nombres aléatoires qui correspondent aux enregistrements réels.
L'utilisation de références de substitution garantit qu'un attaquant ne peut pas accéder à un enregistrement simplement en devinant le prochain identifiant valide.
Enfin, ne vous fiez à rien que l'utilisateur puisse manipuler pour fournir une autorisation. AT&T a essayé d'utiliser l'en-tête de l'agent utilisateur pour autoriser son service. Ne vous fiez pas aux en-têtes HTTP, aux cookies ou aux paramètres GET et POST.
Une fois ces mesures d'atténuation mises en place, L'idor appartiendra au passé.
Sécurisez vos références
Les références directes aux objets non sécurisés constituent l'une des vulnérabilités les plus faciles à exploiter. Ne les laissez pas vous surprendre au moment où vous vous y attendez le moins. Vérifiez toujours que les utilisateurs sont autorisés. N'utilisez pas de véritables identifiants de base de données. Ne vous fiez pas aux données contrôlées par l'utilisateur pour l'autorisation.
Développez votre maîtrise en consultant notre Pédagogiques. En vous entraînant à atténuer les vulnérabilités IDOR dans le langage de votre choix, vous n'aurez aucun problème à trouver et à résoudre ce problème dans vos bases de code de production. Vous pouvez également mettre vos nouvelles connaissances en matière de défense à l'épreuve grâce à une démonstration gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à vous défendre contre les attaques d'Idor dès maintenant ? Rendez-vous sur la plateforme et lancez-vous un défi gratuit : [Commencez ici]
Les URL sont essentielles pour naviguer sur tous les sites Web et applications Web que nous connaissons et aimons. Leur fonction de base est d'identifier où se trouvent les ressources et comment les récupérer. Bien que les URL soient nécessaires au fonctionnement du World Wide Web, elles peuvent également présenter un risque de sécurité si elles ne sont pas correctement sécurisées.
Dans cet article, nous allons apprendre :
- Qu'est-ce qu'idor et comment les attaquants l'utilisent
- 为什么IDOR是危险的
- Techniques permettant de corriger cette vulnérabilité
Comprenez IDOR
Une référence directe à un objet se produit lorsqu'un enregistrement spécifique (l' « objet ») est référencé dans une application. Il prend généralement la forme d'un identifiant unique et peut apparaître dans une URL.
Par exemple, vous allez peut-être remarquer quelque chose comme « ? id=12345" à la fin d'une URL. Le numéro 12345 fait référence à un enregistrement spécifique. Les failles de sécurité apparaissent lorsque le contrôle d'accès n'est pas présent pour les enregistrements individuels. Cela permet aux utilisateurs d'accéder à des enregistrements et à des données qu'ils ne devraient pas voir. Il s'agit d'une attaque qui nécessite un niveau de compétence relativement faible.
Dans ce cas, supposons qu'un attaquant change l'ID de l'URL en 12344. Dans une application vulnérable à IDOR, l'attaquant pourrait voir les données relatives à cet enregistrement.
Quels dégâts ce type de vulnérabilité peut-il réellement causer ?
Découvrez pourquoi L'idor est dangereux
Lorsque les développeurs ne font pas attention, ils peuvent concevoir un système qui affiche et divulgue les enregistrements des applications à divers endroits. Une violation de cette ampleur peut être importante, en particulier lorsqu'il s'agit de données sensibles ou d'informations d'identification personnelle.
Le bureau des impôts australien create a Web site pour aider les entreprises à percevoir une nouvelle taxe. Malheureusement, il était livré avec la fonctionnalité indésirable d'une vulnérabilité IDOR. Un utilisateur curieux s'est rendu compte que les URL du site contenaient son numéro d'entreprise australien, ou ABN. Il se trouve qu'il s'agit d'un numéro facilement détectable pour toute entreprise enregistrée. Cet utilisateur a décidé de saisir les numéros d'autres entreprises dans l'URL. Il a reçu leurs informations de compte bancaire et leurs informations personnelles !
Apple a récemment été victime d'une vulnérabilité IDOR. Lorsque l'iPad est sorti pour la première fois, 114 000 adresses e-mail de clients ont été divulguées. (Pour être honnête, c'était plutôt une erreur de la part d'AT&T).
Vous voyez, AT&T a créé un service pour prendre en charge la connectivité 3G pour les iPad. L'iPad a envoyé un identifiant stocké sur la carte SIM au service d'AT&T. Le service a ensuite renvoyé l'adresse e-mail de l'utilisateur.
Malheureusement, ces identifiants n'étaient que des entiers séquentiels et étaient donc facilement devinables. Les attaquants ont parcouru les identifiants et ont volé les adresses e-mail.
Une autre erreur est que le service d'AT & T a essayé de « sécuriser » le service en ne renvoyant l'adresse e-mail que si la demande en-tête user-agent a indiqué qu'il provenait d'un iPad. L'agent utilisateur n'est qu'une valeur de chaîne qui peut être facilement manipulée.
Les vulnérabilités d'Idor peuvent être subtiles et sournoises. Discutons de la manière de les vaincre.
Vaincre l'IDOR
Le contrôle d'accès est la clé pour résoudre les problèmes d'Idor. Lorsqu'un utilisateur demande un enregistrement spécifique, assurez-vous qu'il est autorisé à consulter l'enregistrement demandé.
L'utilisation de modules d'autorisation centralisés est le meilleur moyen d'y parvenir. Des outils tels que Printanière Security fournir une authentification et une autorisation robustes et personnalisables pour les applications.
Conclusion : ayez un module sur lequel tous les autres codes s'appuient pour effectuer des contrôles d'autorisation.
Une autre mesure d'atténuation courante est l'utilisation de références de substitution. Au lieu d'utiliser les identifiants d'enregistrement de base de données réels dans votre URL, vous pouvez créer des nombres aléatoires qui correspondent aux enregistrements réels.
L'utilisation de références de substitution garantit qu'un attaquant ne peut pas accéder à un enregistrement simplement en devinant le prochain identifiant valide.
Enfin, ne vous fiez à rien que l'utilisateur puisse manipuler pour fournir une autorisation. AT&T a essayé d'utiliser l'en-tête de l'agent utilisateur pour autoriser son service. Ne vous fiez pas aux en-têtes HTTP, aux cookies ou aux paramètres GET et POST.
Une fois ces mesures d'atténuation mises en place, L'idor appartiendra au passé.
Sécurisez vos références
Les références directes aux objets non sécurisés constituent l'une des vulnérabilités les plus faciles à exploiter. Ne les laissez pas vous surprendre au moment où vous vous y attendez le moins. Vérifiez toujours que les utilisateurs sont autorisés. N'utilisez pas de véritables identifiants de base de données. Ne vous fiez pas aux données contrôlées par l'utilisateur pour l'autorisation.
Développez votre maîtrise en consultant notre Pédagogiques. En vous entraînant à atténuer les vulnérabilités IDOR dans le langage de votre choix, vous n'aurez aucun problème à trouver et à résoudre ce problème dans vos bases de code de production. Vous pouvez également mettre vos nouvelles connaissances en matière de défense à l'épreuve grâce à une démonstration gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à vous défendre contre les attaques d'Idor dès maintenant ? Rendez-vous sur la plateforme et lancez-vous un défi gratuit : [Commencez ici]
%20(1).avif)
.avif)
