안전하지 않은 직접 개체 참조

Insecure direct object reference

IDOR(Insecure Direct Object Reference)는 디지털보안 [1]접근컨트롤 취약성의 일종입니다.

이 문제는 웹 응용 프로그램 또는 응용 프로그램프로그래밍 인터페이스내부 데이터베이스 내의 오브젝트에 직접 액세스하기 위해 식별자를 사용하지만 액세스컨트롤 또는 인증을 확인하지 않을 때 발생할 수 있습니다.예를 들어 웹 사이트로 직접 전송된 요청 URL이 쉽게 열거할 수 있는 고유 식별자를 사용하는 경우(예:http://foo.com/doc/1234모든 레코드에 의도하지 않은 접근을 악용할 수 있습니다.

디렉토리 트래버설 공격은 IDOR의 [2]특수한 경우로 간주됩니다.

이 취약성은 매우 중요한 문제로 수년 동안 Open Web Application Security Project(OWASP)의 Top 10 취약성 [3]중 하나로 꼽혔습니다.

2020년 11월, Silent Breach는 미국 국방부 웹사이트에서 IDOR 취약성을 확인하고 DOD의 취약성 공개 프로그램을 통해 이를 비공개 보고하였다.이 버그는 계정 시스템에 사용자 세션메커니즘을 추가하여 수정되었습니다.[4]이 메커니즘은 먼저 사이트에서 인증을 받아야 합니다.

팔러 소셜 네트워크 서비스는 순차적인 포스트 ID를 사용했으며, 이를 통해 2021년 1월 서비스로부터 테라바이트의 데이터를 스크랩할 수 있었다고 보고되었다.그 프로젝트를 책임지고 있는 연구원은 이것이 [5][6]부정확했다고 말했다.

상위 IDOR 기록

IDOR 취약성에 대해 연구하고 이해하는 동안이제 IDOR의 내용을 몇 개 읽어보고 명확성을 높여야 합니다.그러면 IDOR을 어플리케이션에서 검색하여 현상금을 받거나 시스템을 보호할 수도 있습니다.아래 목록은 bughacker별로 나열되어 있습니다.

레퍼런스

  1. ^ "Insecure direct object references (IDOR) Web Security Academy". portswigger.net. Retrieved 2021-01-12.
  2. ^ Karande, Chetan. "Securing Node Applications - 4. Insecure Direct Object References". www.oreilly.com. Retrieved 2021-01-12.{{cite web}}: CS1 maint :url-status (링크)
  3. ^ Solomon, Howard (2021-01-12). "Common development error likely led to huge Parler data theft, says expert IT World Canada News". www.itworldcanada.com. Retrieved 2021-01-12.
  4. ^ Cimpanu, Catalin. "Bug hunter wins 'Researcher of the Month' award for DOD account takeover bug". ZDNet. Retrieved 2021-01-12.
  5. ^ Greenberg, Andy (January 12, 2021). "An Absurdly Basic Bug Let Anyone Grab All of Parler's Data". Wired. Archived from the original on January 12, 2021. Retrieved January 12, 2021.
  6. ^ @donk_enby (January 30, 2021). "also a lot of the news coverage claimed the post IDs were sequential. they were not, but: github.com/d0nk/parler-tricks/blob/main/parler/conversion.py#L22 (this endpoint only existed in their iOS app and afaik wasn't actually used for anything)" (Tweet). Archived from the original on February 12, 2021. Retrieved February 12, 2021 – via Twitter.


Stub icon

이 컴퓨터 보안 기사는 스텁입니다.위키피디아를 확장함으로써 위키피디아를 도울 수 있습니다.