Підписуйтеся на наш телеграм канал!

Дослідження: хакери можуть отримати доступ до всіх даних, змінивши URL-адресу в браузері
Спеціалісти агентства безпеки Австралії та США попередили користувачів про новий метод хакерських атак. Веб-програми піддаються загрозі кібератак через вразливість у системі контролю доступу.
У спільній заяві дослідники вказали на небезпеку так званих вразливостей IDOR (Insecure Direct Object Reference), які дозволяють зловмисникам отримувати несанкціонований доступ до чужих даних, змінювати чи видаляти їх.
Вразливості IDOR виникають, коли веб-застосунок використовує вхідні дані користувача або ідентифікатор для прямого доступу до внутрішнього ресурсу, наприклад, записи в базі даних, без додаткових перевірок. Типовий приклад IDOR — можливість користувача легко змінити URL (наприклад, https://example[.]site/details.php?id=12 345) для отримання заборонених даних іншої транзакції (тобто https://example[.]site /details.php?id=67 890).
«IDOR — це вразливості контролю доступу, що дозволяють зловмисникам змінювати або видаляти дані або отримувати доступ до конфіденційної інформації, надсилаючи запити на веб-сайт або додаток програмного інтерфейсу (API), вказуючи ідентифікатор користувача інших, дійсних користувачів. Ці запити є успішними там, де відсутня достатня перевірка справжності та авторизації», — пояснили спеціалісти.
Для запобігання загрозам рекомендується, щоб постачальники, дизайнери та розробники приймали принципи «вродженої захищеності» (Security-by-Design and -Default). Все для того, щоб програмне забезпечення виконувало перевірки автентичності та авторизації для кожного запиту, який змінює, видаляє та отримує доступ до чутливих даних.