image

Amerikaanse overheid waarschuwt voor IDOR-kwetsbaarheden

vrijdag 28 juli 2023, 09:52 door Redactie, 2 reacties

De Amerikaanse en Australische overheid hebben een gezamenlijke waarschuwing afgegeven voor IDOR-kwetsbaarheden, omdat aanvallers daar vaak misbruik van maken en die tot grote datalekken hebben geleid waarbij de gegevens van miljoenen mensen op straat zijn beland.

IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.

Een bekend voorbeeld is wanneer een klant van een webshop in de adresbalk van de browser het nummer van zijn factuur aanpast en dan de factuur en gegevens van een andere klant te zien krijgt. Vanwege de impact van IDOR-kwetsbaarheden zijn de Amerikaanse geheime dienst NSA, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Australische Cyber Security Centre (ACSC) nu met een waarschuwing gekomen, gericht aan leveranciers en ontwikkelaars van webapplicaties en organisaties die hier gebruik van maken.

"Deze kwetsbaarheden komen vaak voor en zijn buiten het ontwikkelproces lastig te voorkomen, aangezien elke use case uniek is en niet met een eenvoudige library of beveiligingsfunctie is te verhelpen. Daarnaast kunnen aanvallers ze door middel van geautomatiseerde tools op grote schaal detecteren en misbruiken", aldus de overheidsdiensten.

Ontwikkelaars worden onder andere opgeroepen om "secure coding practices" te volgen en "secure-by-design" en "security by default" toe te passen. Organisaties moeten bij de keuze voor webapplicaties alleen kiezen voor ontwikkelaars die dergelijke best practices volgen en applicaties zo in te stellen dat IDOR-pogingen worden gelogd.

Reacties (2)
28-07-2023, 23:44 door Anoniem
Deze kwetsbaarheden komen vaak voor en zijn buiten het ontwikkelproces lastig te voorkomen

Deze fouten komen vaak voor en zijn buiten het ontwikkelproces lastig te voorkomen
FTFY
29-07-2023, 15:04 door karma4 - Bijgewerkt: 29-07-2023, 15:08
Door Anoniem: Deze fouten komen vaak voor en zijn buiten het ontwikkelproces lastig te voorkomen
FTFY

De IDOR is bij review lastig the onderscheiden van correct sessiegebruik. Het vraagt wat meer kennis en onderzoek om dat netjes uit elkaar te halen. Bij het ontwikkelen wil in eerste instantie dat sessie gedrag uitgeschakeld zijn, bij het valideren (test) moet het er uit gehaald zijn. Met agile wordt dat testen heel vaak overgeslagen. Het idee is dat functioneel testen geen waarde heeft. Eens in de zoveel tijd een pen test zou volstaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.