IDOR web Zafiyeti Hakkında

Merhabalar…

Bugün sizlere İDOR(İnsecure Direct Object References) zafiyetinden bahsedeceğim. Türkçe meali olarak Güvensiz Doğrudan Nesne Referansı diye çevirebiliriz…

Bu Uygulama Zafiyeti Nasıl Meydana Gelir?

Bu web uygulama zafiyeti herhangi bir kullanıcıdan alınan girdinin, nesneye ya da nesnelere doğrudan erişim sağlanmasıyla ortaya çıkar.

Zafiyet istismarı sonucu bazı yektilendirmeler atlatılabilmekte ve sisteme erişim sağlanabilimektedir. Misal vermek gerekirse bu zafiyetin sonucunda veri tabanına erişim sağlandığında veri tabanındaki verileri değiştirme, ekleme ya da silme işlemleri gerçekleştirilebilir.

Zafiyetin meydana gelme nedeni ise web uygulamasının kullanıcıdan aldığı girdilerin yeterli bir yetkilendirme kontrolü yapılmadan bir nesnenin içerisine alınmasıdır.

Bu zafiyete günlük hayattan bir senaryo ile bahsetmek gerekirse;

Bir gün herhangi bir alışveriş sitesini girdiniz ve giyim olarak T-şort arıyorsunuz. Bir T-şort beğendiniz ve fiyatı size göre pahalı geldi. Bu zafiyetin tam olarak burada oluşabileceğini düşünerek o sitenin trafiğini proxy kullanarak araya girip, 50 ₺ olan T-şort’in fiyatını 1 ₺ olarak 50 tane satın alabilirsiniz. Tabii bu işlemleri yapmadan önce bu bulunduğunuz web sitede bu bahsettiğimiz İDOR zafiyetinin açığa çıkması lazım.

Kaynak: https://ridvankaplan.com/web/idor-insecure-direct-object-references.html

Not: Lütfen bu zaafiyeti gerçek sistemler üzerinde denemeyiniz.


Bir cevap yazın