Unsichere direkte Objektreferenz (IDOR)
Was ist Unsichere direkte Objektreferenz (IDOR)?
Unsichere direkte Objektreferenz (IDOR)Zugriffskontrollschwäche, bei der eine Anwendung Referenzen auf interne Objekte exponiert und Nutzer diese ändern können, um auf fremde Daten zuzugreifen.
IDOR liegt vor, wenn ein Endpunkt einen vom Nutzer übergebenen Identifier (numerische ID, UUID, Dateiname, Kontonummer) verwendet, um ein Objekt zu lesen oder zu ändern, ohne zu prüfen, ob der Aufrufer für genau dieses Objekt berechtigt ist. Fortlaufende IDs und vorhersagbare Referenzen erleichtern die Ausnutzung, aber auch UUIDs sind unsicher, wenn sie erraten oder geleakt werden können. IDOR ist eine der häufigsten Bug-Bounty-Findings und Hauptursache mandantenübergreifender Datenlecks. Schutz: serverseitige Ownership-Prüfung pro Request, Scoping von Datenbankabfragen auf aktuellen Nutzer/Mandanten, indirekte Referenzen (opake Session-Mappings) sowie automatisierte Tests gegen horizontalen Zugriff.
● Beispiele
- 01
Ändern von /invoices/1042 in /invoices/1043, um die Rechnung eines anderen Kunden zu lesen.
- 02
Ändern eines URL-Parameters für ein Profilbild, um den Avatar eines anderen Nutzers zu überschreiben.
● Häufige Fragen
Was ist Unsichere direkte Objektreferenz (IDOR)?
Zugriffskontrollschwäche, bei der eine Anwendung Referenzen auf interne Objekte exponiert und Nutzer diese ändern können, um auf fremde Daten zuzugreifen. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet Unsichere direkte Objektreferenz (IDOR)?
Zugriffskontrollschwäche, bei der eine Anwendung Referenzen auf interne Objekte exponiert und Nutzer diese ändern können, um auf fremde Daten zuzugreifen.
Wie schützt man sich gegen Unsichere direkte Objektreferenz (IDOR)?
Schutzmaßnahmen gegen Unsichere direkte Objektreferenz (IDOR) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Unsichere direkte Objektreferenz (IDOR)?
Übliche alternative Bezeichnungen: IDOR, Direkte Objektreferenz-Schwachstelle.