@hacker0x01HackerOne
HackerOne به دنیا قدرت می دهد تا اینترنت ایمن تری بسازد.
Insecure Direct Object References (یا IDOR) یک اشکال ساده است که بسته بندی می شود. در صورت بهره برداری ، می تواند به مهاجمان دسترسی به داده های حساس یا رمزهای عبور یا امکان تغییر اطلاعات را به آنها بدهد. در HackerOne ، هر ماه بیش از 200 مورد یافت می شود و با خیال راحت به مشتریان گزارش می شود.
IDOR چیست؟
انواع مختلفی از حملات IDOR وجود دارد ، از جمله:
- دستکاری بدن، که در آن مهاجمان مقدار یک کادر تأیید ، دکمه های رادیویی ، API ها را تغییر می دهند و زمینه ها را برای دسترسی آسان به اطلاعات سایر کاربران تغییر می دهند.
- دستکاری URL، که در آن URL در پایان مشتری با دستکاری پارامترهای درخواست HTTP اصلاح می شود.
- درخواست های HTTP که در آن آسیب پذیری های IDOR به طور معمول در افعال GET ، POST ، PUT و DELETE یافت می شوند.
- تکلیف انبوه، جایی که می توان از الگوی ضبط سو to استفاده کرد تا داده هایی را تغییر دهد که کاربر نباید به آنها دسترسی داشته باشد. گرچه همیشه نتیجه آسیب پذیری IDOR نیست ، اما نمونه های قدرتمند زیادی از این مسئله در نتیجه آن وجود دارد.
در ساده ترین و متداول ترین شکل خود ، آسیب پذیری IDOR هنگامی بوجود می آید که تنها ورودی مورد نیاز برای دسترسی یا جایگزینی محتوا از طرف کاربر باشد. این آسیب پذیری که توسط هکر مستقر در کالیفرنیا Rojan Rijal (با نام مستعارrijalrojan) در سال 2018 به Shopify ارسال شده است …