Веб-приложения с небезопасными прямыми ссылками на объекты (IDOR, Insecure direct object references) подвергаются значительным рискам взлома, предупреждают специалисты Агентства по кибербезопасности и защите инфраструктуры США (CISA), совместно с Австралийским центром кибербезопасности (ACSC) и Агентством национальной безопасности США (АНБ).

К проблемам IDOR относятся недостатки в веб-приложениях (или приложениях, использующих уязвимые веб-API), которые позволяют злоумышленникам получать доступ к конфиденциальным данным и манипулировать ими, напрямую ссылаясь на внутренние объекты или ресурсы. То есть уязвимое веб-приложение может неправильно проверять доступ пользователя к определенным ресурсам, включая файлы, базы данных или учетные записи.

В итоге IDOR-уязвимости могут привести к несанкционированному доступу и утечке данных из-за неправильной валидации input’а и авторизации, что позволит атакующим получить доступ к ресурсам, на использование которых у них не должно быть прав.

CISA, ACSC и АНБ предупредили поставщиков, проектировщиков, разработчиков и организации, которые используют веб-приложения, о необходимости защитить свои системы от IDOR-уязвимостей. Специалисты подчеркивают, что такие проблемы часто используются злоумышленниками в инцидентах с утечками данных и ведут к компрометации личной, финансовой и медицинской информации миллионов людей.

Так, разработчикам веб-приложений рекомендуется использовать принципам secure-by-design-and-default, при написании кода помнить о безопасности (например, нормализации и проверке input’а, использовать CAPTCHA), проводить анализ и тестирование кода с использованием автоматизированных средств, а также обучать персонал безопасной разработке ПО.

Организациям и конечным пользователям, в свою очередь, следует выбирать веб-приложения, которые демонстрируют приверженность принципы secure-by-design-and-default, как можно быстрее применять патчи, настраивать приложения для обнаружения и оповещения о попытках несанкционированного доступа, а также регулярно проводить пентесты и поиск уязвимостей для обеспечения безопасности своих веб-приложений.

В своем отчете эксперты приводят примеры того, как IDOR-уязвимости в прошлом приводили к массовым утечкам данных. Так, в 2021 году была обнаружена крупная утечка, связанная со сталкерским ПО которое передавало собранные данные на серверы, подверженные IDOR-уязвимости CVE-2022-0732. Тогда доступны всем желающим оказались текстовые сообщения, записи звонков, фотографии и информация о геолокации сотен тысяч мобильных устройств.

Другая утечка в 2019 году затронула организацию First American Financial Corp., в результате чего оказались раскрыты более 800 млн конфиденциальных финансовых файлов, включая банковские выписки, номера банковских счетов и документы, связанные с выплатой ипотеки.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии