Post

9/recent/ticker-posts

Bug Insecure Direct Object References (IDOR)

Bug Insecure Direct Object References (IDOR) adalah vulnerability yang sering muncul karena tidak adanya pengecekan hak akses user terhadap suatu objek (data). User bisa mengubah key yang jadi reference ke objek (misalnya ID di database) dan bisa mendapatkan akses ke data (bisa melihat atau malah bisa mengubah juga). Vulnerability ini bisa terjadi di mana saja, tidak terkait pakai bahasa pemrograman, database, atau platform apapun.

Jadi si attacker dapat mengubah data/nilai user lain.

Begini...

Sebagai contoh kita dapat website target : https://shidqi.com/user.php?id=2


seperti itu tampilan websitenya ada informasi pribadi kita,dan disini kita coba meng test apakah webite itu rentan terhadap IDOR,caranya parameter ?id=2 itu kita ganti nilainya menjadi 3
jadi seperti ini : https://shidqi.com/user.php?id=3


Nah muncul tampilan website nya seperti itu dan kita dapat melihat informasi(Pribadi) user lain.Langsung kita eksekusi.

Kita kembali ke link pertama : https://shidqi.com/user.php?id=2
Disitu ada tombol Reset Password kita klik sajhaa.



Nah link nya berubah jadi : https://shidqi.com/[email protected]
Pointnya di parameter,kita ubah nilai parameternya dari [email protected] menjadi [email protected] jadinya seperti ini https://shidqi.com/[email protected] 





Nah kan disitu berubah menjadi email [email protected] 
Disini kita bisa mengubah password akun user lain tanpa login,dan bug ini termasuk jenis bug yang critical.Ya disitu bisa kita ubah langsung passwordnya....


OE

Posting Komentar

0 Komentar