코더들이 보안을 정복하다: Share & Learn 시리즈: 안전하지 않은 다이렉트 오브젝트 레퍼런스
URL은 우리가 알고 좋아하는 모든 웹 사이트와 웹 애플리케이션을 탐색하는 데 필수적입니다.리소스의 기본 기능은 리소스의 위치와 검색 방법을 식별하는 것입니다.URL은 World Wide Web이 작동하는 데 필요하지만 제대로 보호되지 않을 경우 보안 위험을 초래할 수도 있습니다.
이 글에서 우리는 다음을 배울 것입니다:
- IDOR이란 무엇이며 공격자가 IDOR을 사용하는 방법
- IDOR이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
IDOR에 대한 이해
직접 개체 참조는 응용 프로그램 내에서 특정 레코드 (“개체”) 를 참조하는 경우입니다.일반적으로 고유 식별자의 형태를 취하며 URL에 표시될 수 있습니다.
예를 들어, 다음과 같은 것을 볼 수 있습니다. “?URL 끝에 ID=12345"가 있습니다.숫자 12345는 특정 레코드에 대한 참조입니다.개별 레코드에 대한 액세스 제어가 없는 경우 보안 취약성이 드러납니다.이를 통해 사용자는 볼 수 없는 레코드와 데이터에 액세스할 수 있습니다.이 공격에는 비교적 낮은 기술 수준이 필요합니다.
이 경우 공격자가 URL의 ID를 12344로 변경한다고 가정해 보겠습니다.IDOR에 취약한 애플리케이션에서는 공격자가 해당 레코드와 관련된 데이터를 볼 수 있습니다.
이러한 유형의 취약점으로 인해 실제로 얼마나 많은 피해가 발생할 수 있습니까?
IDOR이 왜 위험한지 알아두세요
개발자가 주의하지 않을 경우 애플리케이션 기록을 다양한 곳에 표시하고 유출하는 시스템을 설계할 수 있습니다.이러한 규모의 침해는 특히 민감한 데이터나 PII가 관련된 경우 심각할 수 있습니다.
오스트레일리아 세무서 웹 사이트 설정 기업이 새로운 세금을 징수할 수 있도록 도와줍니다.안타깝게도 IDOR 취약점이라는 원치 않는 기능이 포함된 패키지로 배송되었습니다.호기심이 많은 사용자는 사이트 내 URL에 자신의 호주 사업자 등록번호 (ABN) 가 포함되어 있다는 사실을 알게 되었습니다.우연히도 이 번호는 등록된 사업체라면 누구나 쉽게 찾을 수 있는 번호입니다.이 사용자는 URL에 다른 회사의 번호를 입력하기로 결정했습니다.그는 그들의 은행 계좌 정보와 개인 정보를 선물로 받았습니다!
애플은 최근 IDOR 취약점의 희생양이 되었습니다.아이패드가 처음 출시되었을 때 114,000개의 고객 이메일 주소가 유출되었습니다.(공정하게 말하자면, AT & T 측의 실수에 더 가깝습니다).
아시다시피 AT&T는 iPad의 3G 연결을 지원하는 서비스를 구축했습니다.iPad는 SIM 카드에 저장된 식별자를 AT&T 서비스로 보냈습니다.그런 다음 서비스는 사용자의 이메일 주소를 반환했습니다.
안타깝게도 이러한 식별자는 단순히 순차적인 정수이므로 쉽게 추측할 수 있었습니다.공격자들은 식별자를 반복해서 살펴보며 이메일 주소를 훔쳤습니다.
또 다른 실수는 AT&T의 서비스가 요청이 있는 경우에만 이메일 주소를 반환하여 서비스를 “보안”하려고 했다는 것입니다. 사용자 에이전트 헤더 iPad에서 가져온 것으로 나타났습니다.사용자 에이전트는 쉽게 조작할 수 있는 문자열 값일 뿐입니다.
IDOR 취약점은 미묘하고 교활할 수 있습니다.이러한 문제를 해결하는 방법에 대해 알아보겠습니다.
아이도르 물리치기
액세스 제어는 IDOR 해결의 핵심입니다.사용자가 특정 레코드를 요청하는 경우 요청된 레코드를 볼 수 있는 권한이 있는지 확인하세요.
이를 위한 가장 좋은 방법은 중앙 집중식 인증 모듈을 사용하는 것입니다.다음과 같은 도구 스프링 시큐리티 애플리케이션에 대한 강력하고 사용자 지정 가능한 인증 및 권한 부여를 제공합니다.
요점: 다른 모든 코드가 인증 검사를 수행하는 데 사용하는 단일 모듈을 보유하십시오.
또 다른 일반적인 완화 방법은 서로게이트 참조를 사용하는 것입니다.URL에 실제 데이터베이스 레코드 식별자를 사용하는 대신 실제 레코드에 다시 매핑되는 난수를 만들 수 있습니다.
서로게이트 참조를 사용하면 공격자가 다음 유효한 식별자를 추측하는 것만으로는 레코드에 접근할 수 없습니다.
마지막으로, 권한을 부여하기 위해 사용자가 조작할 수 있는 어떤 것에도 의존하지 마세요.AT&T는 사용자 에이전트 헤더를 사용하여 서비스를 승인하려고 했습니다.HTTP 헤더, 쿠키, GET 및 POST 파라미터에 의존하지 마세요.
이러한 완화 조치가 시행되면 IDOR은 과거의 일이 될 것입니다.
레퍼런스 보안
안전하지 않은 다이렉트 오브젝트 레퍼런스는 악용하기 가장 쉬운 취약성 중 하나입니다.예상치 못한 상황에서 이들이 몰래 들이닥치지 않도록 하세요.항상 사용자가 승인되었는지 확인하세요.실제 데이터베이스 식별자를 사용하지 마세요.권한 부여를 위해 사용자가 제어하는 데이터에 의존하지 마세요.
저희 제품을 확인하셔서 실력을 쌓으세요 학습 리소스.선택한 언어로 IDOR 취약성을 완화하는 방법을 연습하면 프로덕션 코드베이스에서 이 문제를 찾아 해결하는 데 아무런 문제가 없습니다.또한 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼의 무료 데모를 통해 새로 발견한 방어 지식을 테스트할 수 있습니다.이 취약점을 해결하는 방법과 기타 위협에 대한 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
지금 IDOR 공격을 방어할 준비가 되셨나요?플랫폼으로 가서 무료로 도전하세요: [여기서 시작]
직접 객체 참조는 특정 레코드 ('객체') 가 애플리케이션 내에서 참조되는 경우입니다.일반적으로 고유 식별자의 형태를 취하며 URL에 표시될 수 있습니다.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
URL은 우리가 알고 좋아하는 모든 웹 사이트와 웹 애플리케이션을 탐색하는 데 필수적입니다.리소스의 기본 기능은 리소스의 위치와 검색 방법을 식별하는 것입니다.URL은 World Wide Web이 작동하는 데 필요하지만 제대로 보호되지 않을 경우 보안 위험을 초래할 수도 있습니다.
이 글에서 우리는 다음을 배울 것입니다:
- IDOR이란 무엇이며 공격자가 IDOR을 사용하는 방법
- IDOR이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
IDOR에 대한 이해
직접 개체 참조는 응용 프로그램 내에서 특정 레코드 (“개체”) 를 참조하는 경우입니다.일반적으로 고유 식별자의 형태를 취하며 URL에 표시될 수 있습니다.
예를 들어, 다음과 같은 것을 볼 수 있습니다. “?URL 끝에 ID=12345"가 있습니다.숫자 12345는 특정 레코드에 대한 참조입니다.개별 레코드에 대한 액세스 제어가 없는 경우 보안 취약성이 드러납니다.이를 통해 사용자는 볼 수 없는 레코드와 데이터에 액세스할 수 있습니다.이 공격에는 비교적 낮은 기술 수준이 필요합니다.
이 경우 공격자가 URL의 ID를 12344로 변경한다고 가정해 보겠습니다.IDOR에 취약한 애플리케이션에서는 공격자가 해당 레코드와 관련된 데이터를 볼 수 있습니다.
이러한 유형의 취약점으로 인해 실제로 얼마나 많은 피해가 발생할 수 있습니까?
IDOR이 왜 위험한지 알아두세요
개발자가 주의하지 않을 경우 애플리케이션 기록을 다양한 곳에 표시하고 유출하는 시스템을 설계할 수 있습니다.이러한 규모의 침해는 특히 민감한 데이터나 PII가 관련된 경우 심각할 수 있습니다.
오스트레일리아 세무서 웹 사이트 설정 기업이 새로운 세금을 징수할 수 있도록 도와줍니다.안타깝게도 IDOR 취약점이라는 원치 않는 기능이 포함된 패키지로 배송되었습니다.호기심이 많은 사용자는 사이트 내 URL에 자신의 호주 사업자 등록번호 (ABN) 가 포함되어 있다는 사실을 알게 되었습니다.우연히도 이 번호는 등록된 사업체라면 누구나 쉽게 찾을 수 있는 번호입니다.이 사용자는 URL에 다른 회사의 번호를 입력하기로 결정했습니다.그는 그들의 은행 계좌 정보와 개인 정보를 선물로 받았습니다!
애플은 최근 IDOR 취약점의 희생양이 되었습니다.아이패드가 처음 출시되었을 때 114,000개의 고객 이메일 주소가 유출되었습니다.(공정하게 말하자면, AT & T 측의 실수에 더 가깝습니다).
아시다시피 AT&T는 iPad의 3G 연결을 지원하는 서비스를 구축했습니다.iPad는 SIM 카드에 저장된 식별자를 AT&T 서비스로 보냈습니다.그런 다음 서비스는 사용자의 이메일 주소를 반환했습니다.
안타깝게도 이러한 식별자는 단순히 순차적인 정수이므로 쉽게 추측할 수 있었습니다.공격자들은 식별자를 반복해서 살펴보며 이메일 주소를 훔쳤습니다.
또 다른 실수는 AT&T의 서비스가 요청이 있는 경우에만 이메일 주소를 반환하여 서비스를 “보안”하려고 했다는 것입니다. 사용자 에이전트 헤더 iPad에서 가져온 것으로 나타났습니다.사용자 에이전트는 쉽게 조작할 수 있는 문자열 값일 뿐입니다.
IDOR 취약점은 미묘하고 교활할 수 있습니다.이러한 문제를 해결하는 방법에 대해 알아보겠습니다.
아이도르 물리치기
액세스 제어는 IDOR 해결의 핵심입니다.사용자가 특정 레코드를 요청하는 경우 요청된 레코드를 볼 수 있는 권한이 있는지 확인하세요.
이를 위한 가장 좋은 방법은 중앙 집중식 인증 모듈을 사용하는 것입니다.다음과 같은 도구 스프링 시큐리티 애플리케이션에 대한 강력하고 사용자 지정 가능한 인증 및 권한 부여를 제공합니다.
요점: 다른 모든 코드가 인증 검사를 수행하는 데 사용하는 단일 모듈을 보유하십시오.
또 다른 일반적인 완화 방법은 서로게이트 참조를 사용하는 것입니다.URL에 실제 데이터베이스 레코드 식별자를 사용하는 대신 실제 레코드에 다시 매핑되는 난수를 만들 수 있습니다.
서로게이트 참조를 사용하면 공격자가 다음 유효한 식별자를 추측하는 것만으로는 레코드에 접근할 수 없습니다.
마지막으로, 권한을 부여하기 위해 사용자가 조작할 수 있는 어떤 것에도 의존하지 마세요.AT&T는 사용자 에이전트 헤더를 사용하여 서비스를 승인하려고 했습니다.HTTP 헤더, 쿠키, GET 및 POST 파라미터에 의존하지 마세요.
이러한 완화 조치가 시행되면 IDOR은 과거의 일이 될 것입니다.
레퍼런스 보안
안전하지 않은 다이렉트 오브젝트 레퍼런스는 악용하기 가장 쉬운 취약성 중 하나입니다.예상치 못한 상황에서 이들이 몰래 들이닥치지 않도록 하세요.항상 사용자가 승인되었는지 확인하세요.실제 데이터베이스 식별자를 사용하지 마세요.권한 부여를 위해 사용자가 제어하는 데이터에 의존하지 마세요.
저희 제품을 확인하셔서 실력을 쌓으세요 학습 리소스.선택한 언어로 IDOR 취약성을 완화하는 방법을 연습하면 프로덕션 코드베이스에서 이 문제를 찾아 해결하는 데 아무런 문제가 없습니다.또한 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼의 무료 데모를 통해 새로 발견한 방어 지식을 테스트할 수 있습니다.이 취약점을 해결하는 방법과 기타 위협에 대한 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
지금 IDOR 공격을 방어할 준비가 되셨나요?플랫폼으로 가서 무료로 도전하세요: [여기서 시작]
URL은 우리가 알고 좋아하는 모든 웹 사이트와 웹 애플리케이션을 탐색하는 데 필수적입니다.리소스의 기본 기능은 리소스의 위치와 검색 방법을 식별하는 것입니다.URL은 World Wide Web이 작동하는 데 필요하지만 제대로 보호되지 않을 경우 보안 위험을 초래할 수도 있습니다.
이 글에서 우리는 다음을 배울 것입니다:
- IDOR이란 무엇이며 공격자가 IDOR을 사용하는 방법
- IDOR이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
IDOR에 대한 이해
직접 개체 참조는 응용 프로그램 내에서 특정 레코드 (“개체”) 를 참조하는 경우입니다.일반적으로 고유 식별자의 형태를 취하며 URL에 표시될 수 있습니다.
예를 들어, 다음과 같은 것을 볼 수 있습니다. “?URL 끝에 ID=12345"가 있습니다.숫자 12345는 특정 레코드에 대한 참조입니다.개별 레코드에 대한 액세스 제어가 없는 경우 보안 취약성이 드러납니다.이를 통해 사용자는 볼 수 없는 레코드와 데이터에 액세스할 수 있습니다.이 공격에는 비교적 낮은 기술 수준이 필요합니다.
이 경우 공격자가 URL의 ID를 12344로 변경한다고 가정해 보겠습니다.IDOR에 취약한 애플리케이션에서는 공격자가 해당 레코드와 관련된 데이터를 볼 수 있습니다.
이러한 유형의 취약점으로 인해 실제로 얼마나 많은 피해가 발생할 수 있습니까?
IDOR이 왜 위험한지 알아두세요
개발자가 주의하지 않을 경우 애플리케이션 기록을 다양한 곳에 표시하고 유출하는 시스템을 설계할 수 있습니다.이러한 규모의 침해는 특히 민감한 데이터나 PII가 관련된 경우 심각할 수 있습니다.
오스트레일리아 세무서 웹 사이트 설정 기업이 새로운 세금을 징수할 수 있도록 도와줍니다.안타깝게도 IDOR 취약점이라는 원치 않는 기능이 포함된 패키지로 배송되었습니다.호기심이 많은 사용자는 사이트 내 URL에 자신의 호주 사업자 등록번호 (ABN) 가 포함되어 있다는 사실을 알게 되었습니다.우연히도 이 번호는 등록된 사업체라면 누구나 쉽게 찾을 수 있는 번호입니다.이 사용자는 URL에 다른 회사의 번호를 입력하기로 결정했습니다.그는 그들의 은행 계좌 정보와 개인 정보를 선물로 받았습니다!
애플은 최근 IDOR 취약점의 희생양이 되었습니다.아이패드가 처음 출시되었을 때 114,000개의 고객 이메일 주소가 유출되었습니다.(공정하게 말하자면, AT & T 측의 실수에 더 가깝습니다).
아시다시피 AT&T는 iPad의 3G 연결을 지원하는 서비스를 구축했습니다.iPad는 SIM 카드에 저장된 식별자를 AT&T 서비스로 보냈습니다.그런 다음 서비스는 사용자의 이메일 주소를 반환했습니다.
안타깝게도 이러한 식별자는 단순히 순차적인 정수이므로 쉽게 추측할 수 있었습니다.공격자들은 식별자를 반복해서 살펴보며 이메일 주소를 훔쳤습니다.
또 다른 실수는 AT&T의 서비스가 요청이 있는 경우에만 이메일 주소를 반환하여 서비스를 “보안”하려고 했다는 것입니다. 사용자 에이전트 헤더 iPad에서 가져온 것으로 나타났습니다.사용자 에이전트는 쉽게 조작할 수 있는 문자열 값일 뿐입니다.
IDOR 취약점은 미묘하고 교활할 수 있습니다.이러한 문제를 해결하는 방법에 대해 알아보겠습니다.
아이도르 물리치기
액세스 제어는 IDOR 해결의 핵심입니다.사용자가 특정 레코드를 요청하는 경우 요청된 레코드를 볼 수 있는 권한이 있는지 확인하세요.
이를 위한 가장 좋은 방법은 중앙 집중식 인증 모듈을 사용하는 것입니다.다음과 같은 도구 스프링 시큐리티 애플리케이션에 대한 강력하고 사용자 지정 가능한 인증 및 권한 부여를 제공합니다.
요점: 다른 모든 코드가 인증 검사를 수행하는 데 사용하는 단일 모듈을 보유하십시오.
또 다른 일반적인 완화 방법은 서로게이트 참조를 사용하는 것입니다.URL에 실제 데이터베이스 레코드 식별자를 사용하는 대신 실제 레코드에 다시 매핑되는 난수를 만들 수 있습니다.
서로게이트 참조를 사용하면 공격자가 다음 유효한 식별자를 추측하는 것만으로는 레코드에 접근할 수 없습니다.
마지막으로, 권한을 부여하기 위해 사용자가 조작할 수 있는 어떤 것에도 의존하지 마세요.AT&T는 사용자 에이전트 헤더를 사용하여 서비스를 승인하려고 했습니다.HTTP 헤더, 쿠키, GET 및 POST 파라미터에 의존하지 마세요.
이러한 완화 조치가 시행되면 IDOR은 과거의 일이 될 것입니다.
레퍼런스 보안
안전하지 않은 다이렉트 오브젝트 레퍼런스는 악용하기 가장 쉬운 취약성 중 하나입니다.예상치 못한 상황에서 이들이 몰래 들이닥치지 않도록 하세요.항상 사용자가 승인되었는지 확인하세요.실제 데이터베이스 식별자를 사용하지 마세요.권한 부여를 위해 사용자가 제어하는 데이터에 의존하지 마세요.
저희 제품을 확인하셔서 실력을 쌓으세요 학습 리소스.선택한 언어로 IDOR 취약성을 완화하는 방법을 연습하면 프로덕션 코드베이스에서 이 문제를 찾아 해결하는 데 아무런 문제가 없습니다.또한 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼의 무료 데모를 통해 새로 발견한 방어 지식을 테스트할 수 있습니다.이 취약점을 해결하는 방법과 기타 위협에 대한 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
지금 IDOR 공격을 방어할 준비가 되셨나요?플랫폼으로 가서 무료로 도전하세요: [여기서 시작]
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
URL은 우리가 알고 좋아하는 모든 웹 사이트와 웹 애플리케이션을 탐색하는 데 필수적입니다.리소스의 기본 기능은 리소스의 위치와 검색 방법을 식별하는 것입니다.URL은 World Wide Web이 작동하는 데 필요하지만 제대로 보호되지 않을 경우 보안 위험을 초래할 수도 있습니다.
이 글에서 우리는 다음을 배울 것입니다:
- IDOR이란 무엇이며 공격자가 IDOR을 사용하는 방법
- IDOR이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
IDOR에 대한 이해
직접 개체 참조는 응용 프로그램 내에서 특정 레코드 (“개체”) 를 참조하는 경우입니다.일반적으로 고유 식별자의 형태를 취하며 URL에 표시될 수 있습니다.
예를 들어, 다음과 같은 것을 볼 수 있습니다. “?URL 끝에 ID=12345"가 있습니다.숫자 12345는 특정 레코드에 대한 참조입니다.개별 레코드에 대한 액세스 제어가 없는 경우 보안 취약성이 드러납니다.이를 통해 사용자는 볼 수 없는 레코드와 데이터에 액세스할 수 있습니다.이 공격에는 비교적 낮은 기술 수준이 필요합니다.
이 경우 공격자가 URL의 ID를 12344로 변경한다고 가정해 보겠습니다.IDOR에 취약한 애플리케이션에서는 공격자가 해당 레코드와 관련된 데이터를 볼 수 있습니다.
이러한 유형의 취약점으로 인해 실제로 얼마나 많은 피해가 발생할 수 있습니까?
IDOR이 왜 위험한지 알아두세요
개발자가 주의하지 않을 경우 애플리케이션 기록을 다양한 곳에 표시하고 유출하는 시스템을 설계할 수 있습니다.이러한 규모의 침해는 특히 민감한 데이터나 PII가 관련된 경우 심각할 수 있습니다.
오스트레일리아 세무서 웹 사이트 설정 기업이 새로운 세금을 징수할 수 있도록 도와줍니다.안타깝게도 IDOR 취약점이라는 원치 않는 기능이 포함된 패키지로 배송되었습니다.호기심이 많은 사용자는 사이트 내 URL에 자신의 호주 사업자 등록번호 (ABN) 가 포함되어 있다는 사실을 알게 되었습니다.우연히도 이 번호는 등록된 사업체라면 누구나 쉽게 찾을 수 있는 번호입니다.이 사용자는 URL에 다른 회사의 번호를 입력하기로 결정했습니다.그는 그들의 은행 계좌 정보와 개인 정보를 선물로 받았습니다!
애플은 최근 IDOR 취약점의 희생양이 되었습니다.아이패드가 처음 출시되었을 때 114,000개의 고객 이메일 주소가 유출되었습니다.(공정하게 말하자면, AT & T 측의 실수에 더 가깝습니다).
아시다시피 AT&T는 iPad의 3G 연결을 지원하는 서비스를 구축했습니다.iPad는 SIM 카드에 저장된 식별자를 AT&T 서비스로 보냈습니다.그런 다음 서비스는 사용자의 이메일 주소를 반환했습니다.
안타깝게도 이러한 식별자는 단순히 순차적인 정수이므로 쉽게 추측할 수 있었습니다.공격자들은 식별자를 반복해서 살펴보며 이메일 주소를 훔쳤습니다.
또 다른 실수는 AT&T의 서비스가 요청이 있는 경우에만 이메일 주소를 반환하여 서비스를 “보안”하려고 했다는 것입니다. 사용자 에이전트 헤더 iPad에서 가져온 것으로 나타났습니다.사용자 에이전트는 쉽게 조작할 수 있는 문자열 값일 뿐입니다.
IDOR 취약점은 미묘하고 교활할 수 있습니다.이러한 문제를 해결하는 방법에 대해 알아보겠습니다.
아이도르 물리치기
액세스 제어는 IDOR 해결의 핵심입니다.사용자가 특정 레코드를 요청하는 경우 요청된 레코드를 볼 수 있는 권한이 있는지 확인하세요.
이를 위한 가장 좋은 방법은 중앙 집중식 인증 모듈을 사용하는 것입니다.다음과 같은 도구 스프링 시큐리티 애플리케이션에 대한 강력하고 사용자 지정 가능한 인증 및 권한 부여를 제공합니다.
요점: 다른 모든 코드가 인증 검사를 수행하는 데 사용하는 단일 모듈을 보유하십시오.
또 다른 일반적인 완화 방법은 서로게이트 참조를 사용하는 것입니다.URL에 실제 데이터베이스 레코드 식별자를 사용하는 대신 실제 레코드에 다시 매핑되는 난수를 만들 수 있습니다.
서로게이트 참조를 사용하면 공격자가 다음 유효한 식별자를 추측하는 것만으로는 레코드에 접근할 수 없습니다.
마지막으로, 권한을 부여하기 위해 사용자가 조작할 수 있는 어떤 것에도 의존하지 마세요.AT&T는 사용자 에이전트 헤더를 사용하여 서비스를 승인하려고 했습니다.HTTP 헤더, 쿠키, GET 및 POST 파라미터에 의존하지 마세요.
이러한 완화 조치가 시행되면 IDOR은 과거의 일이 될 것입니다.
레퍼런스 보안
안전하지 않은 다이렉트 오브젝트 레퍼런스는 악용하기 가장 쉬운 취약성 중 하나입니다.예상치 못한 상황에서 이들이 몰래 들이닥치지 않도록 하세요.항상 사용자가 승인되었는지 확인하세요.실제 데이터베이스 식별자를 사용하지 마세요.권한 부여를 위해 사용자가 제어하는 데이터에 의존하지 마세요.
저희 제품을 확인하셔서 실력을 쌓으세요 학습 리소스.선택한 언어로 IDOR 취약성을 완화하는 방법을 연습하면 프로덕션 코드베이스에서 이 문제를 찾아 해결하는 데 아무런 문제가 없습니다.또한 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼의 무료 데모를 통해 새로 발견한 방어 지식을 테스트할 수 있습니다.이 취약점을 해결하는 방법과 기타 위협에 대한 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
지금 IDOR 공격을 방어할 준비가 되셨나요?플랫폼으로 가서 무료로 도전하세요: [여기서 시작]
Inhaltsverzeichnis
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
