코더들이 보안을 정복하다: Share & Learn 시리즈: 안전하지 않은 다이렉트 오브젝트 레퍼런스
URL은 우리가 알고 좋아하는 모든 웹 사이트와 웹 애플리케이션을 탐색하는 데 필수적입니다.리소스의 기본 기능은 리소스의 위치와 검색 방법을 식별하는 것입니다.URL은 World Wide Web이 작동하는 데 필요하지만 제대로 보호되지 않을 경우 보안 위험을 초래할 수도 있습니다.
이 글에서 우리는 다음을 배울 것입니다:
- IDOR이란 무엇이며 공격자가 IDOR을 사용하는 방법
- IDOR이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
IDOR에 대한 이해
직접 개체 참조는 응용 프로그램 내에서 특정 레코드 (“개체”) 를 참조하는 경우입니다.일반적으로 고유 식별자의 형태를 취하며 URL에 표시될 수 있습니다.
예를 들어, 다음과 같은 것을 볼 수 있습니다. “?URL 끝에 ID=12345"가 있습니다.숫자 12345는 특정 레코드에 대한 참조입니다.개별 레코드에 대한 액세스 제어가 없는 경우 보안 취약성이 드러납니다.이를 통해 사용자는 볼 수 없는 레코드와 데이터에 액세스할 수 있습니다.이 공격에는 비교적 낮은 기술 수준이 필요합니다.
이 경우 공격자가 URL의 ID를 12344로 변경한다고 가정해 보겠습니다.IDOR에 취약한 애플리케이션에서는 공격자가 해당 레코드와 관련된 데이터를 볼 수 있습니다.
이러한 유형의 취약점으로 인해 실제로 얼마나 많은 피해가 발생할 수 있습니까?
IDOR이 왜 위험한지 알아두세요
개발자가 주의하지 않을 경우 애플리케이션 기록을 다양한 곳에 표시하고 유출하는 시스템을 설계할 수 있습니다.이러한 규모의 침해는 특히 민감한 데이터나 PII가 관련된 경우 심각할 수 있습니다.
오스트레일리아 세무서 웹 사이트 설정 기업이 새로운 세금을 징수할 수 있도록 도와줍니다.안타깝게도 IDOR 취약점이라는 원치 않는 기능이 포함된 패키지로 배송되었습니다.호기심이 많은 사용자는 사이트 내 URL에 자신의 호주 사업자 등록번호 (ABN) 가 포함되어 있다는 사실을 알게 되었습니다.우연히도 이 번호는 등록된 사업체라면 누구나 쉽게 찾을 수 있는 번호입니다.이 사용자는 URL에 다른 회사의 번호를 입력하기로 결정했습니다.그는 그들의 은행 계좌 정보와 개인 정보를 선물로 받았습니다!
애플은 최근 IDOR 취약점의 희생양이 되었습니다.아이패드가 처음 출시되었을 때 114,000개의 고객 이메일 주소가 유출되었습니다.(공정하게 말하자면, AT & T 측의 실수에 더 가깝습니다).
아시다시피 AT&T는 iPad의 3G 연결을 지원하는 서비스를 구축했습니다.iPad는 SIM 카드에 저장된 식별자를 AT&T 서비스로 보냈습니다.그런 다음 서비스는 사용자의 이메일 주소를 반환했습니다.
안타깝게도 이러한 식별자는 단순히 순차적인 정수이므로 쉽게 추측할 수 있었습니다.공격자들은 식별자를 반복해서 살펴보며 이메일 주소를 훔쳤습니다.
또 다른 실수는 AT&T의 서비스가 요청이 있는 경우에만 이메일 주소를 반환하여 서비스를 “보안”하려고 했다는 것입니다. 사용자 에이전트 헤더 iPad에서 가져온 것으로 나타났습니다.사용자 에이전트는 쉽게 조작할 수 있는 문자열 값일 뿐입니다.
IDOR 취약점은 미묘하고 교활할 수 있습니다.이러한 문제를 해결하는 방법에 대해 알아보겠습니다.
아이도르 물리치기
액세스 제어는 IDOR 해결의 핵심입니다.사용자가 특정 레코드를 요청하는 경우 요청된 레코드를 볼 수 있는 권한이 있는지 확인하세요.
이를 위한 가장 좋은 방법은 중앙 집중식 인증 모듈을 사용하는 것입니다.다음과 같은 도구 스프링 시큐리티 애플리케이션에 대한 강력하고 사용자 지정 가능한 인증 및 권한 부여를 제공합니다.
요점: 다른 모든 코드가 인증 검사를 수행하는 데 사용하는 단일 모듈을 보유하십시오.
또 다른 일반적인 완화 방법은 서로게이트 참조를 사용하는 것입니다.URL에 실제 데이터베이스 레코드 식별자를 사용하는 대신 실제 레코드에 다시 매핑되는 난수를 만들 수 있습니다.
서로게이트 참조를 사용하면 공격자가 다음 유효한 식별자를 추측하는 것만으로는 레코드에 접근할 수 없습니다.
마지막으로, 권한을 부여하기 위해 사용자가 조작할 수 있는 어떤 것에도 의존하지 마세요.AT&T는 사용자 에이전트 헤더를 사용하여 서비스를 승인하려고 했습니다.HTTP 헤더, 쿠키, GET 및 POST 파라미터에 의존하지 마세요.
이러한 완화 조치가 시행되면 IDOR은 과거의 일이 될 것입니다.
레퍼런스 보안
안전하지 않은 다이렉트 오브젝트 레퍼런스는 악용하기 가장 쉬운 취약성 중 하나입니다.예상치 못한 상황에서 이들이 몰래 들이닥치지 않도록 하세요.항상 사용자가 승인되었는지 확인하세요.실제 데이터베이스 식별자를 사용하지 마세요.권한 부여를 위해 사용자가 제어하는 데이터에 의존하지 마세요.
저희 제품을 확인하셔서 실력을 쌓으세요 학습 리소스.선택한 언어로 IDOR 취약성을 완화하는 방법을 연습하면 프로덕션 코드베이스에서 이 문제를 찾아 해결하는 데 아무런 문제가 없습니다.또한 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼의 무료 데모를 통해 새로 발견한 방어 지식을 테스트할 수 있습니다.이 취약점을 해결하는 방법과 기타 위협에 대한 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
지금 IDOR 공격을 방어할 준비가 되셨나요?플랫폼으로 가서 무료로 도전하세요: [여기서 시작]
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
URL은 우리가 알고 좋아하는 모든 웹 사이트와 웹 애플리케이션을 탐색하는 데 필수적입니다.리소스의 기본 기능은 리소스의 위치와 검색 방법을 식별하는 것입니다.URL은 World Wide Web이 작동하는 데 필요하지만 제대로 보호되지 않을 경우 보안 위험을 초래할 수도 있습니다.
이 글에서 우리는 다음을 배울 것입니다:
- IDOR이란 무엇이며 공격자가 IDOR을 사용하는 방법
- IDOR이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
IDOR에 대한 이해
직접 개체 참조는 응용 프로그램 내에서 특정 레코드 (“개체”) 를 참조하는 경우입니다.일반적으로 고유 식별자의 형태를 취하며 URL에 표시될 수 있습니다.
예를 들어, 다음과 같은 것을 볼 수 있습니다. “?URL 끝에 ID=12345"가 있습니다.숫자 12345는 특정 레코드에 대한 참조입니다.개별 레코드에 대한 액세스 제어가 없는 경우 보안 취약성이 드러납니다.이를 통해 사용자는 볼 수 없는 레코드와 데이터에 액세스할 수 있습니다.이 공격에는 비교적 낮은 기술 수준이 필요합니다.
이 경우 공격자가 URL의 ID를 12344로 변경한다고 가정해 보겠습니다.IDOR에 취약한 애플리케이션에서는 공격자가 해당 레코드와 관련된 데이터를 볼 수 있습니다.
이러한 유형의 취약점으로 인해 실제로 얼마나 많은 피해가 발생할 수 있습니까?
IDOR이 왜 위험한지 알아두세요
개발자가 주의하지 않을 경우 애플리케이션 기록을 다양한 곳에 표시하고 유출하는 시스템을 설계할 수 있습니다.이러한 규모의 침해는 특히 민감한 데이터나 PII가 관련된 경우 심각할 수 있습니다.
오스트레일리아 세무서 웹 사이트 설정 기업이 새로운 세금을 징수할 수 있도록 도와줍니다.안타깝게도 IDOR 취약점이라는 원치 않는 기능이 포함된 패키지로 배송되었습니다.호기심이 많은 사용자는 사이트 내 URL에 자신의 호주 사업자 등록번호 (ABN) 가 포함되어 있다는 사실을 알게 되었습니다.우연히도 이 번호는 등록된 사업체라면 누구나 쉽게 찾을 수 있는 번호입니다.이 사용자는 URL에 다른 회사의 번호를 입력하기로 결정했습니다.그는 그들의 은행 계좌 정보와 개인 정보를 선물로 받았습니다!
애플은 최근 IDOR 취약점의 희생양이 되었습니다.아이패드가 처음 출시되었을 때 114,000개의 고객 이메일 주소가 유출되었습니다.(공정하게 말하자면, AT & T 측의 실수에 더 가깝습니다).
아시다시피 AT&T는 iPad의 3G 연결을 지원하는 서비스를 구축했습니다.iPad는 SIM 카드에 저장된 식별자를 AT&T 서비스로 보냈습니다.그런 다음 서비스는 사용자의 이메일 주소를 반환했습니다.
안타깝게도 이러한 식별자는 단순히 순차적인 정수이므로 쉽게 추측할 수 있었습니다.공격자들은 식별자를 반복해서 살펴보며 이메일 주소를 훔쳤습니다.
또 다른 실수는 AT&T의 서비스가 요청이 있는 경우에만 이메일 주소를 반환하여 서비스를 “보안”하려고 했다는 것입니다. 사용자 에이전트 헤더 iPad에서 가져온 것으로 나타났습니다.사용자 에이전트는 쉽게 조작할 수 있는 문자열 값일 뿐입니다.
IDOR 취약점은 미묘하고 교활할 수 있습니다.이러한 문제를 해결하는 방법에 대해 알아보겠습니다.
아이도르 물리치기
액세스 제어는 IDOR 해결의 핵심입니다.사용자가 특정 레코드를 요청하는 경우 요청된 레코드를 볼 수 있는 권한이 있는지 확인하세요.
이를 위한 가장 좋은 방법은 중앙 집중식 인증 모듈을 사용하는 것입니다.다음과 같은 도구 스프링 시큐리티 애플리케이션에 대한 강력하고 사용자 지정 가능한 인증 및 권한 부여를 제공합니다.
요점: 다른 모든 코드가 인증 검사를 수행하는 데 사용하는 단일 모듈을 보유하십시오.
또 다른 일반적인 완화 방법은 서로게이트 참조를 사용하는 것입니다.URL에 실제 데이터베이스 레코드 식별자를 사용하는 대신 실제 레코드에 다시 매핑되는 난수를 만들 수 있습니다.
서로게이트 참조를 사용하면 공격자가 다음 유효한 식별자를 추측하는 것만으로는 레코드에 접근할 수 없습니다.
마지막으로, 권한을 부여하기 위해 사용자가 조작할 수 있는 어떤 것에도 의존하지 마세요.AT&T는 사용자 에이전트 헤더를 사용하여 서비스를 승인하려고 했습니다.HTTP 헤더, 쿠키, GET 및 POST 파라미터에 의존하지 마세요.
이러한 완화 조치가 시행되면 IDOR은 과거의 일이 될 것입니다.
레퍼런스 보안
안전하지 않은 다이렉트 오브젝트 레퍼런스는 악용하기 가장 쉬운 취약성 중 하나입니다.예상치 못한 상황에서 이들이 몰래 들이닥치지 않도록 하세요.항상 사용자가 승인되었는지 확인하세요.실제 데이터베이스 식별자를 사용하지 마세요.권한 부여를 위해 사용자가 제어하는 데이터에 의존하지 마세요.
저희 제품을 확인하셔서 실력을 쌓으세요 학습 리소스.선택한 언어로 IDOR 취약성을 완화하는 방법을 연습하면 프로덕션 코드베이스에서 이 문제를 찾아 해결하는 데 아무런 문제가 없습니다.또한 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼의 무료 데모를 통해 새로 발견한 방어 지식을 테스트할 수 있습니다.이 취약점을 해결하는 방법과 기타 위협에 대한 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
지금 IDOR 공격을 방어할 준비가 되셨나요?플랫폼으로 가서 무료로 도전하세요: [여기서 시작]
URL은 우리가 알고 좋아하는 모든 웹 사이트와 웹 애플리케이션을 탐색하는 데 필수적입니다.리소스의 기본 기능은 리소스의 위치와 검색 방법을 식별하는 것입니다.URL은 World Wide Web이 작동하는 데 필요하지만 제대로 보호되지 않을 경우 보안 위험을 초래할 수도 있습니다.
이 글에서 우리는 다음을 배울 것입니다:
- IDOR이란 무엇이며 공격자가 IDOR을 사용하는 방법
- IDOR이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
IDOR에 대한 이해
직접 개체 참조는 응용 프로그램 내에서 특정 레코드 (“개체”) 를 참조하는 경우입니다.일반적으로 고유 식별자의 형태를 취하며 URL에 표시될 수 있습니다.
예를 들어, 다음과 같은 것을 볼 수 있습니다. “?URL 끝에 ID=12345"가 있습니다.숫자 12345는 특정 레코드에 대한 참조입니다.개별 레코드에 대한 액세스 제어가 없는 경우 보안 취약성이 드러납니다.이를 통해 사용자는 볼 수 없는 레코드와 데이터에 액세스할 수 있습니다.이 공격에는 비교적 낮은 기술 수준이 필요합니다.
이 경우 공격자가 URL의 ID를 12344로 변경한다고 가정해 보겠습니다.IDOR에 취약한 애플리케이션에서는 공격자가 해당 레코드와 관련된 데이터를 볼 수 있습니다.
이러한 유형의 취약점으로 인해 실제로 얼마나 많은 피해가 발생할 수 있습니까?
IDOR이 왜 위험한지 알아두세요
개발자가 주의하지 않을 경우 애플리케이션 기록을 다양한 곳에 표시하고 유출하는 시스템을 설계할 수 있습니다.이러한 규모의 침해는 특히 민감한 데이터나 PII가 관련된 경우 심각할 수 있습니다.
오스트레일리아 세무서 웹 사이트 설정 기업이 새로운 세금을 징수할 수 있도록 도와줍니다.안타깝게도 IDOR 취약점이라는 원치 않는 기능이 포함된 패키지로 배송되었습니다.호기심이 많은 사용자는 사이트 내 URL에 자신의 호주 사업자 등록번호 (ABN) 가 포함되어 있다는 사실을 알게 되었습니다.우연히도 이 번호는 등록된 사업체라면 누구나 쉽게 찾을 수 있는 번호입니다.이 사용자는 URL에 다른 회사의 번호를 입력하기로 결정했습니다.그는 그들의 은행 계좌 정보와 개인 정보를 선물로 받았습니다!
애플은 최근 IDOR 취약점의 희생양이 되었습니다.아이패드가 처음 출시되었을 때 114,000개의 고객 이메일 주소가 유출되었습니다.(공정하게 말하자면, AT & T 측의 실수에 더 가깝습니다).
아시다시피 AT&T는 iPad의 3G 연결을 지원하는 서비스를 구축했습니다.iPad는 SIM 카드에 저장된 식별자를 AT&T 서비스로 보냈습니다.그런 다음 서비스는 사용자의 이메일 주소를 반환했습니다.
안타깝게도 이러한 식별자는 단순히 순차적인 정수이므로 쉽게 추측할 수 있었습니다.공격자들은 식별자를 반복해서 살펴보며 이메일 주소를 훔쳤습니다.
또 다른 실수는 AT&T의 서비스가 요청이 있는 경우에만 이메일 주소를 반환하여 서비스를 “보안”하려고 했다는 것입니다. 사용자 에이전트 헤더 iPad에서 가져온 것으로 나타났습니다.사용자 에이전트는 쉽게 조작할 수 있는 문자열 값일 뿐입니다.
IDOR 취약점은 미묘하고 교활할 수 있습니다.이러한 문제를 해결하는 방법에 대해 알아보겠습니다.
아이도르 물리치기
액세스 제어는 IDOR 해결의 핵심입니다.사용자가 특정 레코드를 요청하는 경우 요청된 레코드를 볼 수 있는 권한이 있는지 확인하세요.
이를 위한 가장 좋은 방법은 중앙 집중식 인증 모듈을 사용하는 것입니다.다음과 같은 도구 스프링 시큐리티 애플리케이션에 대한 강력하고 사용자 지정 가능한 인증 및 권한 부여를 제공합니다.
요점: 다른 모든 코드가 인증 검사를 수행하는 데 사용하는 단일 모듈을 보유하십시오.
또 다른 일반적인 완화 방법은 서로게이트 참조를 사용하는 것입니다.URL에 실제 데이터베이스 레코드 식별자를 사용하는 대신 실제 레코드에 다시 매핑되는 난수를 만들 수 있습니다.
서로게이트 참조를 사용하면 공격자가 다음 유효한 식별자를 추측하는 것만으로는 레코드에 접근할 수 없습니다.
마지막으로, 권한을 부여하기 위해 사용자가 조작할 수 있는 어떤 것에도 의존하지 마세요.AT&T는 사용자 에이전트 헤더를 사용하여 서비스를 승인하려고 했습니다.HTTP 헤더, 쿠키, GET 및 POST 파라미터에 의존하지 마세요.
이러한 완화 조치가 시행되면 IDOR은 과거의 일이 될 것입니다.
레퍼런스 보안
안전하지 않은 다이렉트 오브젝트 레퍼런스는 악용하기 가장 쉬운 취약성 중 하나입니다.예상치 못한 상황에서 이들이 몰래 들이닥치지 않도록 하세요.항상 사용자가 승인되었는지 확인하세요.실제 데이터베이스 식별자를 사용하지 마세요.권한 부여를 위해 사용자가 제어하는 데이터에 의존하지 마세요.
저희 제품을 확인하셔서 실력을 쌓으세요 학습 리소스.선택한 언어로 IDOR 취약성을 완화하는 방법을 연습하면 프로덕션 코드베이스에서 이 문제를 찾아 해결하는 데 아무런 문제가 없습니다.또한 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼의 무료 데모를 통해 새로 발견한 방어 지식을 테스트할 수 있습니다.이 취약점을 해결하는 방법과 기타 위협에 대한 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
지금 IDOR 공격을 방어할 준비가 되셨나요?플랫폼으로 가서 무료로 도전하세요: [여기서 시작]
URL은 우리가 알고 좋아하는 모든 웹 사이트와 웹 애플리케이션을 탐색하는 데 필수적입니다.리소스의 기본 기능은 리소스의 위치와 검색 방법을 식별하는 것입니다.URL은 World Wide Web이 작동하는 데 필요하지만 제대로 보호되지 않을 경우 보안 위험을 초래할 수도 있습니다.
이 글에서 우리는 다음을 배울 것입니다:
- IDOR이란 무엇이며 공격자가 IDOR을 사용하는 방법
- IDOR이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
IDOR에 대한 이해
직접 개체 참조는 응용 프로그램 내에서 특정 레코드 (“개체”) 를 참조하는 경우입니다.일반적으로 고유 식별자의 형태를 취하며 URL에 표시될 수 있습니다.
예를 들어, 다음과 같은 것을 볼 수 있습니다. “?URL 끝에 ID=12345"가 있습니다.숫자 12345는 특정 레코드에 대한 참조입니다.개별 레코드에 대한 액세스 제어가 없는 경우 보안 취약성이 드러납니다.이를 통해 사용자는 볼 수 없는 레코드와 데이터에 액세스할 수 있습니다.이 공격에는 비교적 낮은 기술 수준이 필요합니다.
이 경우 공격자가 URL의 ID를 12344로 변경한다고 가정해 보겠습니다.IDOR에 취약한 애플리케이션에서는 공격자가 해당 레코드와 관련된 데이터를 볼 수 있습니다.
이러한 유형의 취약점으로 인해 실제로 얼마나 많은 피해가 발생할 수 있습니까?
IDOR이 왜 위험한지 알아두세요
개발자가 주의하지 않을 경우 애플리케이션 기록을 다양한 곳에 표시하고 유출하는 시스템을 설계할 수 있습니다.이러한 규모의 침해는 특히 민감한 데이터나 PII가 관련된 경우 심각할 수 있습니다.
오스트레일리아 세무서 웹 사이트 설정 기업이 새로운 세금을 징수할 수 있도록 도와줍니다.안타깝게도 IDOR 취약점이라는 원치 않는 기능이 포함된 패키지로 배송되었습니다.호기심이 많은 사용자는 사이트 내 URL에 자신의 호주 사업자 등록번호 (ABN) 가 포함되어 있다는 사실을 알게 되었습니다.우연히도 이 번호는 등록된 사업체라면 누구나 쉽게 찾을 수 있는 번호입니다.이 사용자는 URL에 다른 회사의 번호를 입력하기로 결정했습니다.그는 그들의 은행 계좌 정보와 개인 정보를 선물로 받았습니다!
애플은 최근 IDOR 취약점의 희생양이 되었습니다.아이패드가 처음 출시되었을 때 114,000개의 고객 이메일 주소가 유출되었습니다.(공정하게 말하자면, AT & T 측의 실수에 더 가깝습니다).
아시다시피 AT&T는 iPad의 3G 연결을 지원하는 서비스를 구축했습니다.iPad는 SIM 카드에 저장된 식별자를 AT&T 서비스로 보냈습니다.그런 다음 서비스는 사용자의 이메일 주소를 반환했습니다.
안타깝게도 이러한 식별자는 단순히 순차적인 정수이므로 쉽게 추측할 수 있었습니다.공격자들은 식별자를 반복해서 살펴보며 이메일 주소를 훔쳤습니다.
또 다른 실수는 AT&T의 서비스가 요청이 있는 경우에만 이메일 주소를 반환하여 서비스를 “보안”하려고 했다는 것입니다. 사용자 에이전트 헤더 iPad에서 가져온 것으로 나타났습니다.사용자 에이전트는 쉽게 조작할 수 있는 문자열 값일 뿐입니다.
IDOR 취약점은 미묘하고 교활할 수 있습니다.이러한 문제를 해결하는 방법에 대해 알아보겠습니다.
아이도르 물리치기
액세스 제어는 IDOR 해결의 핵심입니다.사용자가 특정 레코드를 요청하는 경우 요청된 레코드를 볼 수 있는 권한이 있는지 확인하세요.
이를 위한 가장 좋은 방법은 중앙 집중식 인증 모듈을 사용하는 것입니다.다음과 같은 도구 스프링 시큐리티 애플리케이션에 대한 강력하고 사용자 지정 가능한 인증 및 권한 부여를 제공합니다.
요점: 다른 모든 코드가 인증 검사를 수행하는 데 사용하는 단일 모듈을 보유하십시오.
또 다른 일반적인 완화 방법은 서로게이트 참조를 사용하는 것입니다.URL에 실제 데이터베이스 레코드 식별자를 사용하는 대신 실제 레코드에 다시 매핑되는 난수를 만들 수 있습니다.
서로게이트 참조를 사용하면 공격자가 다음 유효한 식별자를 추측하는 것만으로는 레코드에 접근할 수 없습니다.
마지막으로, 권한을 부여하기 위해 사용자가 조작할 수 있는 어떤 것에도 의존하지 마세요.AT&T는 사용자 에이전트 헤더를 사용하여 서비스를 승인하려고 했습니다.HTTP 헤더, 쿠키, GET 및 POST 파라미터에 의존하지 마세요.
이러한 완화 조치가 시행되면 IDOR은 과거의 일이 될 것입니다.
레퍼런스 보안
안전하지 않은 다이렉트 오브젝트 레퍼런스는 악용하기 가장 쉬운 취약성 중 하나입니다.예상치 못한 상황에서 이들이 몰래 들이닥치지 않도록 하세요.항상 사용자가 승인되었는지 확인하세요.실제 데이터베이스 식별자를 사용하지 마세요.권한 부여를 위해 사용자가 제어하는 데이터에 의존하지 마세요.
저희 제품을 확인하셔서 실력을 쌓으세요 학습 리소스.선택한 언어로 IDOR 취약성을 완화하는 방법을 연습하면 프로덕션 코드베이스에서 이 문제를 찾아 해결하는 데 아무런 문제가 없습니다.또한 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼의 무료 데모를 통해 새로 발견한 방어 지식을 테스트할 수 있습니다.이 취약점을 해결하는 방법과 기타 위협에 대한 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
지금 IDOR 공격을 방어할 준비가 되셨나요?플랫폼으로 가서 무료로 도전하세요: [여기서 시작]
%20(1).avif)
.avif)
