IDOR (Insecure Direct Object References) Zafiyeti Nedir ve Nasıl Önlenir?
Web uygulamalarında yaygın olarak görülen ve saldırganların sisteme sızmak için kullandığı zafiyetlerden bir tanesi olan IDOR (Insecure Direct Object Reference) hızlı aksiyon alınabilecek güvenlik açıklıklarından bir tanesidir.
IDOR Zafiyeti Nedir?
Bir websitesi ziyaret edildiğinde içeriğinde bulunan uygulamalara nesneler üzerinden erişim sağlanır. Bu nesneler; veritabanı, dosyalar ve dizinlere erişim gibi önemli durumları da tanımlamakta kullanılmaktadır. Saldırganlar bir başka kullanıcının sahip olduğu nesne değerlerlerini taklit veya manipüle edebilmektedir. Böylelikle hedeflediği kişinin uygulama üzerindeki kimlik bilgilerini elde etmiş olurlar.
Bu saldırı yöntemi IDOR (Insecure Direct Object References) olarak tanımlanır. IDOR zafiyetinin Türkçe karşılığını “Güvensiz Nesnelere Yönelim” olarakta çevirmek mümkündür. IDOR zafiyeti, OWASP’ın ilk olarak 2013 yılında açıkladığı en sık görülen Top 10 zafiyet listesinde 4. sırada yerini almıştır. 2017 yılındaki açıklamada ise A5 kategorisinde kendi yer bularak, Broken Access Control zafiyet türünde kendine yer edinmiştir ve sızma testi çalışmaları dahilinde sıklıkla test edilen bir güvenlik açıklığıdır.
IDOR Zafiyetinin Etkileri Nelerdir?
IDOR (Insecure Direct Object References) zafiyetinin oldukça büyük etkileri olabilmektedir. Saldırganlar, ele geçirdiği hesabı kontrol edebileceği için hesap üzerindeki tüm bilgileri elde edebilir. Ayrıca IDOR zafiyeti kimlik doğrulanmasının atlatılmasını mümkün kılacağından dolayı, daha yetkili bir hesaba giriş yapılmasını da mümkü kılacaktır. Yetkili hesaba erişim sağlayan saldırgan, sistemde tespit ettiği diğer zafiyet türlerini de aktif ederek zafiyet zincirlemesine sebep olabilmektedir. Bu yöntem sızma testi çalışmaları esnasında uzmanlar tarafından yetki yükseltme aşamaları dahilinde de kullanılmaktadır.
IDOR Zafiyeti Örneği
https://zararlidomain.com/parola_degistirme.php?hesap=451
Yukarıda örnek olarak bir url belirtilmiştir. Bu url’de zararlidomain.com kullanıcısına ait parolanın değiştirilmesi esnasında bazı metrik değerler de görülmektedir. Bu url’i fark eden saldırgan 451 olan hesap metrik değeri ile değiştirmeler yapabilir. hesap olarak bulunan metrik değeri ile sayısal olarak oynamalar yaparak, diğer userid kullanıcıların parolası değiştirebilir.
https://zarardomain.com/kullanicilar/451
Yukarıda belirtilen bir diğer örnekte de benzer bir durum vardır. Saldırganlar, kullanicilar dizininde bulunan ve kullanıcıları tanımlayan sayısal metrikleri değiştirebilir. Böylelikle başka kullanıcılara ait metrik değerlere erişek yetkisiz erişim sağlayabilir.
Çözüm Önerileri: IDOR Zafiyeti Nasıl Giderilir?
IDOR güvenlik açıklığını kapatmak veya etkisini azaltmak için erişim kontrolleri sıkıştırılmalıdır. Web uygulama altyapısı geliştirilirken kullanılan framework’ler güncel ve tanınmış olmalıdır. Böylelikle ortaya çıkan IDOR zafiyetlerinin düzeltilmesi durumunda hızlı aksiyon almak mümkün olacaktır. IDOR zafiyetinin önüne geçilmesinde en etken rol oynayan yöntem budur.
Nesnelere erişim sırasında ise veri alışverişi hash ile şifreli şekilde yapılmalıdır. Bu hash veya kullanıcı token(jeton) bilgileri çözülmesi güçlü şifreleme algoritmaları ile desteklenmelidir. Ayrıca yazılım geliştiricileri önemli nesnelerin kullanıcı tarafından görüntülenmesi hususunda dikkatli olmalıdırlar.
IDOR zafiyetine benzer bir zafiyet olan Cross Site Request Forgery (CSRF) zafiyetini anlattığımız yazımız ilginizi çekebilir.