从2010年开始,国际互联互通对象参考(idor )在owasp top 10 web APP应用的安全风险中成为影响力排名第四的安全漏洞。
IDOR允许授权用户获取其他用户的信息。 这意味着授权用户通过更改访问时的参数访问了原本未授权的对象。 web APP应用程序通常在生成网页或服务时使用其真实名称,并检测对所有目标对象的请求访问的用户权限,因此存在不安全的对象直接引用的漏洞。 换句话说,不安全的直接对象引用漏洞允许攻击者通过页面或服务向特殊对象资源发送访问请求,如果系统不正确认证请求发件人的身份权限,则此系统中存在不安全的直接对象引用
OWASP定义
使用不安全的直接对象引用,攻击者可以绕过站点的身份验证机制,并通过更改指向对象的链接中的参数值,来访问目标,如其他用户的数据库条目或服务器系统中的隐私文件这是因为在系统接受用户输入并使用输入信息检索对象之前,未检测到用户的身份权限。
虽然APP应用程序直接使用未通过SQL查询语句测试的数据,但攻击者可以使用此语句访问数据库中的其他帐户数据。
漏洞利用场景
设想以下情况。 web APP应用程序允许登录的用户更改自己的秘密值。 首先,此秘密值必须绑定到用户数据库中的帐户。 目前,用户“bee”已经登录到Web服务器,可以自由更改自己的秘密值,但不打算这样做。 因为他打算恶作剧,修正其他用户的秘密值。
不安全的直接对象参考漏洞入门指南
在BurpSuite的帮助下,我们捕获了浏览器发送的请求。 从下图中可以看到,登录用户是bee,秘密值是hello。 然后,使用其他用户修改此用户的信息。
SQL query=“select * fromuseraccountswhereaccount=‘bee’;
导出外链图像失败(img-lmsoSx8Z-1567062948873 ) 3359 image.3001.net/images/2017 07 06/1499334728966.png
不安全的直接对象参考漏洞入门指南
接下来,我们计划将此用户的用户名更改为raj。 如果尝试在APP上执行此类攻击,则至少需要两个用户帐户。
SQL query=“select * fromuseraccountswhereaccount=‘Raj’;
不安全的直接对象参考漏洞入门指南
非常好! 我们成功修改了用户raj的秘密值。 请注意,如果攻击目标是其中一个官方网站,则攻击者的目标是管理员帐户。
不安全的直接对象参考漏洞入门指南
场景2
接下来,让我们来看看第二个漏洞利用场景。 这与大多数IDOR攻击场景非常相似。
目前,我们打算通过电影票购买网站在线订购门票。 示例网站地址为bookmyshow.com,该网站存在不安全的直接对象引用漏洞。
在这个网站上,我打算订10张电影票。 每张票的正15欧元。 然后,检查订单并使用BurpSuite捕获浏览器请求。
不安全的直接对象参考漏洞入门指南
如下图所示,捕获的请求包括向高亮部分订购的电影票数量、每张票的价格(15欧元)和订购类型。 接下来,试着修改一下订单金额。 把正修改为希望的价格。
不安全的直接对象参考漏洞入门指南
我把单张的票价修改成了1欧元。 也就是说,我可以用10欧元买10张票。 下图显示了请求信息。
不安全的直接对象参考漏洞入门指南
[导出外链图像失败。 (img-laLrtyf7-1567062911849 ) 3359 image.3001.net/images/2017 07 06/1499——31357.png ]
是的。 我们用10欧元成功买到了10张电影票!
总结
这篇文章不安全的直接对象只是引用了漏洞入门指南,这个漏洞的利用方法和利用场景并不像这篇文章说明的那么简单。 感兴趣的用户即使想自己构建这样的测试环境,自己利用这个漏洞,最终也会被实践出真意吧。 有关此漏洞的其他信息,请参阅OWASP提供的内容。