منوهای نصب در پنل مدیریت

آسیب پذیری Insecure Direct Object References

شرح آسیب پذیری:

آسیب پذیری Insecure Direct Object References وقتی اتفاق می افتد که برنامه با استفاده از ورودی کاربر به صورت مستقیم و بدون تغییر به Object ها دسترسی داشته باشد. بدین صورت User می تواند Authorization را Bypass نموده و به صورت مستقیم به رکورد های بانک اطلاعاتی و فایل ها دسترسی داشته باشد. این مورد معمولا با دستکاری مستقیم در Value پارامتری که به صورت مستقیم به Object اشاره دارد صورت می پذیرد. به عنوان مثال دیگر از این آسیب پذیری می توان به مشاهده فاکتور کاربران دیگر در یک سیستم فروشگاهی با تغییر مقدار پارامتر مربوط به Invoiced نمود. این مورد در URL زیر مشهود است.

http://foo.bar/somepage?invoice=65427

چگونه این آسیب پذیری را رفع کنیم ؟

1) از اشاره مستقیم به Object ها خودداری گردد. می توان به جای اشاره مستقیم از نام Object و یا عبارتی که قابل حدس نباشد استفاده نمود.
2) مقدار Value پارامتر اشاره کننده باید به صورت Hash شده در آید. مقدار Hash در بانک اطلاعاتی نگه داری شود و در هر بار اشاره، Hash در بانک اطلاعاتی به صورت غیر مستقیم به Object اشاره می نماید.
3) Bind نمودن Object های هر کاربر به Session او و رمز نمودن مقدار Session به نحوی که برای عموم قابل بازگشایی نباشد.

0 پاسخ به "آسیب پذیری Insecure Direct Object References"

ارسال یک پیام

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

تماس با ما

  • آدرس: تهران، میدان فردوسی، خیابان ایرانشهر جنوبی، ساختمان 44
  • شماره تماس: 021-77036427
  • آدرس ایمیل: info@regux.com
  • ساعات کاری:
  • – شنبه تا چهارشنبه: 8:30 الی 16:00
  • – پنجشنبه: 9:00 الی 12:00
  • – جمعه: تعطیل

دسته ها

ریجاکس یک شرکت معتبر در زمینه ارائه خدمات امنیتی نظیر تست نفوذ، امن سازی، هاردنینگ و امنیت وب سایت می باشد که کار خود را از سال 1392 شروع کرده است. هم اکنون علاوه بر فعالیت های گذشته، ریجاکس اقداماتی را در ارتباط با آموزش امنیت، جهت ارتقاء هر چه بیشتر سطح امنیت سرور های ارائه دهنده خدمات وب، دیتابیس، ایمیل، و فایل انجام داده است.

تمامی حقوق سایت متعلق به ریجاکس بوده و نزد آن محفوظ می باشد.