Menu

Apa itu IDOR ( Insecure Direct Object Reference ) ?

Apa itu IDOR ( Insecure Direct Object Reference ) ?


IDOR ( Insecure Direct Object Reference )
yap pada pertemuan kali ini saya akan membahas tentang web security. Yang menjadi tema artikel ini ialah IDOR apa itu IDOR? apakah bahaya kerentanan ini untuk website seperti e-commerce dan lainnya? oke kita bahas sama sama supaya jelas....


Pendahuluan

IDOR ( Insecure Direct Object Reference ) ini terjadi saat aplikasi menyediakan akses langsung ke objek berdasarkan masukan yang diberikan pengguna. Hal ini memungkinkan hacker untuk mem-bypass autentifikasi standar dan mengakses catatan database maupun sumber daya lain.


IDOR ( Insecure Direct Object Reference ) memungkinkan penyerangan untuk memotong otorisasi dan mengakses sumber daya secara langsung dengan memodifikasi nilai dari parameter yang digunakan untuk mengarahkan langsung ke objek sumber daya semacam itu bisa menjadi entri database milik pengguna lain, file dalam sistem, dan banyak lagi, Hal ini disebabkan oleh fakta bahwa aplikasi tersebut memasukan input yang dimasukan pengguna dan menggunakannya untuk mengambil objek tanpa melakukan pengecekan otorisasi yang memadai.


KASUS

gua beli motor Vario disalah satu situs  yang lumayan gede ... ya gua beli motor... piplih pilih warna warna nya dan lihat secara detail.. dan ada no rekening si admin web ... bayar ...


Nah masalahnya disini.. setelah gua bayar, gua di redirect ke 

https://target.co.id/motor.php?id=1234


dan dengan kondisi seperti ini apa bug yang mungkin kalian temuin? Yaps IDOR ( Insecure Direct Object Refrences ) ..


IDOR ini adalah vulnerablitiy yang sering muncul karena tidak adanya pengecekan hak akses user terhadap suatu objek ( data ) . User bisa mengubah key yang jadi reference ke objek ( misalnya ID di database ) dan bisa mendapatkan akses ke data ( bisa melihat atau malah bisa mengubah juga ). Vulnerability ini bisa terjadi di mana saja, tidak terkait pakai bahasa pemrograman, database, atau platfrom manapun...

Pas gua diredirect ke https://target.co.id/motor.php?id=1234 info kayak nomor, hp, email, nomor rekening, alamat , jenis motor dan lain lain muncul ... 


Gua coba ubah ke https://target.co.id/motor.php?id=1235 dannnn BOOM!!!.. Sensitif information Leaked...



Setelah itu gua coba buat Logout dan coba akses https://target.co.id/motor.php?id=1235 Hasilanya gua gabisa liat informasi yang tadi ( ini adalah basic teknik cari tau bug IDOR atau cuma fitur ).

tentu saja kedua cntoh di atas hanya contoh sederhana saja agar lebih mudah dipahami. Dalam kasus nyata nya tentu lebih rumit dariitu, kita harus benar benar jeli memetakan semua lokasi dan juga request.

intinya, analisa kode adalah cara paling tepat untuk melakukan audit terhadap kerentanan ini. selain itu, kalian juga harus berfikir apa yang akan kamu lakukan jika kamu berada di pihak hacker. Kerentanan jenis ini sendirinya dihargai sangat mahal, Perusahaan perusahaan besar berani bayar hingga ribuan dollar bagi yang dapat menemukan kerentanan IDOR di aplikasinya.

Bagaimana Cara Menemukan Kerentanan ini?

Untuk menguji kerentanan ini, pentester perlu memetakan semua lokasi di aplikasi tempat input pengguna untuk mendapatkan referensi objek secara langsung. Misalnya, lokasi tempat input pengguna yang digunakan untuk mengakses baris database, file, halaman aplikasi dan lainnya. Selanjutnya, tester harus memodifikasi nilai parameter yang digunakan untuk referensi objek dan melihat apakah ada kemungkinan untuk melihat atau mengakses data pengguna lain atau sebaliknya melakukan bypass otorisasi.

Baiklah sekian artikel kali ini, jika ada yang kurang jelas Silahkan ditanyakan dan jika ada kesalahan silahkan dikoreksi. :)

Iklan Tengah Post

Ads middle content1

Ads middle content2