Web uygulamalarında yaygın olarak görülen ve saldırganların sisteme sızmak için kullandığı zafiyetlerden bir tanesi olan IDOR (Insecure Direct Object Reference) hızlı aksiyon alınabilecek güvenlik açıklıklarından bir tanesidir.

idor nedir

IDOR Zafiyeti Nedir?

Bir websitesi ziyaret edildiğinde içeriğinde bulunan uygulamalara nesneler üzerinden erişim sağlanır. Bu nesneler; veritabanı, dosyalar ve dizinlere erişim gibi önemli durumları da tanımlamakta kullanılmaktadır. Saldırganlar bir başka kullanıcının sahip olduğu nesne değerlerlerini taklit veya manipüle edebilmektedir. Böylelikle hedeflediği kişinin uygulama üzerindeki kimlik bilgilerini elde etmiş olurlar. 

Bu saldırı yöntemi IDOR (Insecure Direct Object References) olarak tanımlanır. IDOR zafiyetinin Türkçe karşılığını “Güvensiz Nesnelere Yönelim” olarakta çevirmek mümkündür. IDOR zafiyeti, OWASP’ın ilk olarak 2013 yılında açıkladığı en sık görülen Top 10 zafiyet listesinde 4. sırada yerini almıştır. 2017 yılındaki açıklamada ise A5 kategorisinde kendisine yer bularak, Broken Access Control zafiyet türünde kendine yer edinmiştir ve sızma testi çalışmaları dahilinde sıklıkla test edilen bir güvenlik açıklığıdır.

 

IDOR Zafiyetinin Etkileri Nelerdir?

IDOR (Insecure Direct Object References) zafiyetinin oldukça büyük etkileri olabilmektedir. Saldırganlar tarafından ele geçirilen bir hesap üzerindeki tüm bilgiler kontrol edilebilmektedir. Ayrıca IDOR zafiyeti kimlik doğrulama kontrollerinin atlatılmasını mümkün kılacağından dolayı, saldırganların bu durumu kötüye kullanarak daha yetkili bir hesaba erişim sağlamaları da mümkün olacaktır. Yetkili hesaba erişim sağlayan saldırgan, sistemde tespit edilen diğer zafiyetleri de kullanarak zincirleme zafiyet istismarları gerçekleştirebilir. Bu yöntem sızma testi çalışmaları esnasında siber güvenlik uzmanları tarafından yetki yükseltme (privilege escalation) aşaması dahilinde de kullanılmaktadır.

 

IDOR Zafiyeti Örneği

https://zararlidomain[.]com/parola_degistirme.php?hesap=451 

Yukarıda örnek olarak bir url belirtilmiştir. Bu url’de zararlidomain.com kullanıcısına ait parolanın değiştirilmesi esnasında bazı metrik değerler de görülmektedir. Bu url’i fark eden saldırgan 451 olan hesap metrik değeri ile değiştirmeler yapabilir. hesap olarak bulunan metrik değeri ile sayısal olarak oynamalar yaparak, diğer userid kullanıcıların parolası değiştirebilir. 

 

https://zarardomain[.]com/kullanicilar/451

Yukarıda belirtilen bir diğer örnekte de benzer bir durum vardır. Saldırganlar, kullanicilar dizininde bulunan ve kullanıcıları tanımlayan sayısal metrikleri değiştirebilir. Böylelikle başka kullanıcılara ait metrik değerlere erişek yetkisiz erişim sağlayabilir.