IDOR Zafiyeti Nedir?
Bir websitesi ziyaret edildiğinde içeriğinde bulunan uygulamalara nesneler üzerinden erişim sağlanır. Bu nesneler; veritabanı, dosyalar ve dizinlere erişim gibi önemli durumları da tanımlamakta kullanılmaktadır. Saldırganlar bir başka kullanıcının sahip olduğu nesne değerlerlerini taklit veya manipüle edebilmektedir. Böylelikle hedeflediği kişinin uygulama üzerindeki **yasak-içerik** bilgilerini elde etmiş olurlar.Bu saldırı yöntemi IDOR (Insecure Direct Object References) olarak tanımlanır. IDOR zafiyetinin Türkçe karşılığını “Güvensiz Nesnelere Yönelim” olarakta çevirmek mümkündür. IDOR zafiyeti, OWASP’ın ilk olarak 2013 yılında açıkladığı en sık görülen Top 10 zafiyet listesinde 4. sırada yerini almıştır. 2017 yılındaki açıklamada ise A5 kategorisinde kendisine yer bularak, Broken Access Control zafiyet türünde kendine yer edinmiştir ve sızma testi çalışmaları dahilinde sıklıkla test edilen bir güvenlik açıklığıdır.
IDOR Zafiyetinin Etkileri Nelerdir?
IDOR (Insecure Direct Object References) zafiyetinin oldukça büyük etkileri olabilmektedir. Saldırganlar tarafından ele geçirilen bir hesap üzerindeki tüm bilgiler kontrol edilebilmektedir. Ayrıca IDOR zafiyeti **yasak-içerik** doğrulama kontrollerinin atlatılmasını mümkün kılacağından dolayı, saldırganların bu durumu kötüye kullanarak daha yetkili bir hesaba erişim sağlamaları da mümkün olacaktır. Yetkili hesaba erişim sağlayan saldırgan, sistemde tespit edilen diğer zafiyetleri de kullanarak zincirleme zafiyet istismarları gerçekleştirebilir. Bu yöntem sızma testi çalışmaları esnasında siber güvenlik uzmanları tarafından yetki yükseltme (privilege escalation) aşaması dahilinde de kullanılmaktadır.IDOR Zafiyeti Örneği
https://zararlidomain[.]com/parola_degistirme.php?hesap=451Yukarıda örnek olarak bir url belirtilmiştir. Bu url’de zararlidomain.com kullanıcısına ait parolanın değiştirilmesi esnasında bazı metrik değerler de görülmektedir. Bu url’i fark eden saldırgan 451 olan hesap metrik değeri ile değiştirmeler yapabilir. hesap olarak bulunan metrik değeri ile sayısal olarak oynamalar yaparak, diğer userid kullanıcıların parolası değiştirebilir.
https://zarardomain[.]com/kullanicilar/451
Yukarıda belirtilen bir diğer örnekte de benzer bir durum vardır. Saldırganlar, kullanicilar dizininde bulunan ve kullanıcıları tanımlayan sayısal metrikleri değiştirebilir. Böylelikle başka kullanıcılara ait metrik değerlere erişek yetkisiz erişim sağlayabilir.
detaylı anlatım gelicektir zamanım kısıtlı olduğundan bu şekil oldu