Comprender Referencias directas a objetos inseguras

Un estudio de la firma de ciberseguridad Checkmarx descubrió que las vulnerabilidades IDOR estaban presentes en 21% de las aplicaciones que probaron. Otro estudio de OWASP (Proyecto de Seguridad de Aplicaciones Web Abiertas) Descubrieron que las vulnerabilidades de IDOR eran uno de los diez riesgos de seguridad más críticos para las aplicaciones web.

Dada la prevalencia de las vulnerabilidades de IDOR y el posible impacto de los ataques de IDOR en la seguridad de los datos de una organización, es importante que estas prioricen la detección y prevención de estas vulnerabilidades e implementen medidas de seguridad para mitigar el riesgo de ataques de IDOR. Esto incluye realizar evaluaciones de seguridad periódicas, implementar controles de acceso y verificaciones de autorización, y educar a los empleados sobre los riesgos de las vulnerabilidades de IDOR.

¿Qué es la referencia directa a objeto insegura (IDOR)?

Una referencia directa a objetos insegura se produce cuando una aplicación de software permite a un usuario acceder y manipular directamente un recurso u objeto sin la debida autorización o validación. Esto significa que un atacante puede explotar la vulnerabilidad para obtener acceso no autorizado a datos o recursos confidenciales haciendo referencia directa a un objeto o recurso al que no debería tener acceso.

Vulnerabilidades comunes de IDOR

Las referencias directas a objetos (IDOR) inseguras suponen varios riesgos para una aplicación de software y sus usuarios. Algunos de estos riesgos incluyen:

• Acceso no autorizado: Los atacantes pueden explotar las vulnerabilidades de IDOR para obtener acceso a datos o recursos confidenciales que no están autorizados a ver o manipular.
• Manipulación de datos: Los atacantes pueden usar IDOR para manipular o eliminar datos, lo que puede provocar pérdida o corrupción de datos.
• Robo de datos: Los atacantes pueden usar IDOR para robar datos confidenciales, como información personal, registros financieros o secretos comerciales.
• Denegación de servicio: Los atacantes pueden usar IDOR para agotar los recursos del sistema accediendo o manipulando repetidamente un objeto o recurso específico, lo que puede provocar fallas del sistema o tiempos de inactividad.
• Daño a la reputación: Si se sabe que una aplicación de software tiene vulnerabilidades IDOR, puede dañar la reputación de la aplicación y sus desarrolladores, lo que resulta en una pérdida de confianza y credibilidad entre los usuarios.

Ejemplos de ataques IDOR

Los atacantes pueden intentar explotar las vulnerabilidades de IDOR en una aplicación de software de diversas maneras. Algunos ejemplos incluyen:

• Adquisición de cuenta: Un atacante podría intentar realizar un ataque IDOR modificando el valor del ID en la URL para acceder a la cuenta de otro usuario. Por ejemplo, si la URL del perfil de un usuario es "ejemplo.com/usuario/perfil/1234", el atacante podría modificar el valor de 1234 para acceder al perfil de otro usuario, que podría contener información confidencial o permitirle tomar el control de la cuenta.
• Acceso no autorizado a los datos: Un atacante podría intentar realizar un ataque IDOR manipulando el valor del ID en la URL para acceder a datos a los que no debería tener acceso. Por ejemplo, si la URL del historial de pedidos de un usuario es "example.com/order/history/1234", un atacante podría modificar el valor de 1234 para acceder al historial de pedidos de otro usuario.
• Explotación de campos ocultos: Un atacante podría intentar realizar un ataque IDOR explotando campos ocultos en un formulario web. Por ejemplo, si un formulario web contiene un campo oculto para un ID de usuario, un atacante podría modificar el valor de dicho campo para acceder o manipular datos a los que no debería tener acceso.
• Cómo eludir los controles de autorización: Un atacante podría intentar realizar un ataque IDOR evadiendo las comprobaciones de autorización para acceder a recursos restringidos. Por ejemplo, si una aplicación utiliza identificadores secuenciales para referenciar recursos, un atacante podría adivinar el valor del identificador de un recurso restringido y evadir las comprobaciones de autorización para acceder a él.

Mejores prácticas de pruebas de IDOR

La prueba de referencias directas a objetos inseguras (IDOR) implica identificar y probar cualquier objeto o recurso que pueda ser referenciado o manipulado directamente por un usuario sin la debida autorización. A continuación, se indican algunos pasos para realizar una prueba IDOR:

1. Identificar todos los objetos o recursos: Haga una lista de todos los objetos o recursos que un usuario puede referenciar o manipular directamente, incluidas las URL, los puntos finales de API y los parámetros.
2. Intento de acceder a recursos restringidos: Intentar acceder a recursos a los que un usuario no debería tener acceso. Esto puede incluir modificar parámetros en una URL o un punto final de API para acceder a recursos restringidos.
3. Intento de manipular datos: Intentar manipular datos modificando parámetros en una URL o un punto final de API para acceder y modificar datos que no deberían ser accesibles ni modificables.
4. Verificar autorización: Verificar que todos los objetos o recursos requieran la autorización adecuada antes de que un usuario acceda a ellos o los manipule.
5. Código de revisión: Revise el código para asegurarse de que los objetos o recursos estén correctamente validados y autorizados antes de acceder a ellos o manipularlos.
6. Repetir la prueba: Repita las pruebas para todos los objetos o recursos para garantizar que no se pasen por alto vulnerabilidades de IDOR.
7. Documento e informe: Documente cualquier vulnerabilidad encontrada e infórmesela al equipo de desarrollo para su solución.

Consideraciones legales

Dependiendo de la jurisdicción, los ataques IDOR pueden caer en varias categorías legales, como fraude informático, acceso no autorizado o robo de secretos comerciales.

En los Estados Unidos, la Ley de Fraude y Abuso Informático (CFAA) Es una ley federal que penaliza diversas formas de fraude y piratería informática, incluyendo el acceso no autorizado a sistemas y redes informáticas. Según la CFAA, los ataques IDOR pueden considerarse una forma de acceso no autorizado, lo que puede conllevar multas y penas de prisión.

Además de las leyes federales, muchos estados y países tienen sus propias leyes y regulaciones que rigen los delitos cibernéticos y la privacidad de los datos. Por ejemplo, Reglamento general de protección de datos (RGPD) La Unión Europea impone estrictas normas de protección de datos y privacidad e incluye severas sanciones por las violaciones, incluidos los ataques IDOR.

Prevención de referencias a objetos directos inseguros

Para prevenir vulnerabilidades de referencia directa a objetos (IDOR) inseguras, es necesario implementar medidas de seguridad adecuadas para garantizar que los usuarios no puedan acceder ni manipular recursos directamente sin la debida autorización. A continuación, se indican algunos pasos para prevenir IDOR:

1. Implementar controles de acceso: Implementar controles de acceso que restrinjan el acceso a los recursos en función de los permisos y roles de los usuarios.
2. Utilice identificadores únicos: Utilice identificadores únicos para hacer referencia a objetos o recursos en lugar de confiar en valores secuenciales o fácilmente adivinables.
3. Validar la entrada del usuario: Validar la entrada del usuario para garantizar que se ajuste a los formatos esperados y que no intente acceder o manipular recursos restringidos.
4. Utilice referencias indirectas: Utilice referencias indirectas, como identificadores de bases de datos o hashes, para hacer referencia a objetos o recursos en lugar de depender de referencias directas.
5. Implementar comprobaciones de autorización: Implemente verificaciones de autorización en todos los niveles de la aplicación para garantizar que los usuarios estén autorizados a acceder o manipular recursos.
6. Utilice cifrado: Utilice el cifrado para proteger datos y recursos confidenciales contra accesos o manipulaciones no autorizados.
7. Pruebe y audite periódicamente: Pruebe y audite periódicamente la aplicación para detectar vulnerabilidades de IDOR a fin de garantizar que se descubran y solucionen de manera oportuna.

El enfoque de BigID para la referencia directa a objetos insegura (IDOR)

BigID es una plataforma de inteligencia de datos para privacidad, seguridady gobernanza Plataforma que ayuda a las organizaciones a prevenir y gestionar vulnerabilidades de referencia directa a objetos (IDOR) inseguras mediante la identificación y clasificación de datos sensibles En toda la organización. BigID puede ayudar de varias maneras:

• Descubrimiento de datos: BigID aprovecha tecnologías avanzadas de inteligencia artificial y aprendizaje automático para descubrir y clasificar automáticamente datos confidenciales En toda la infraestructura de una organización, incluyendo bases de datos, servidores de archivos, almacenamiento en la nube y aplicaciones. Esto puede ayudar a las organizaciones a identificar áreas donde puedan existir vulnerabilidades de IDOR y a priorizar las medidas de remediación.
• Controles de acceso: Aplicación de inteligencia de acceso de BigID Implementa controles de acceso para evitar el acceso no autorizado a datos confidenciales. Esto incluye la identificación de usuarios y sus niveles de acceso, la configuración de permisos y políticas de acceso a los datos, y la monitorización de la actividad de acceso para detectar y prevenir ataques IDOR.
• Gestión del cumplimiento: BigID puede ayudar a las organizaciones a cumplir con diversas regulaciones de privacidad y seguridad de datos, como GDPR, CCPAy HIPAAEsto incluye la monitorización de la actividad de acceso para detectar y prevenir ataques IDOR y la generación de informes de cumplimiento para auditorías y presentaciones regulatorias.
• Remediación: Aplicación de remediación de datos de BigID Proporciona recomendaciones para remediar las vulnerabilidades de IDOR, como mejorar los controles de acceso, implementar identificadores únicos y validar la entrada del usuario.

Para obtener una mayor visibilidad de sus datos confidenciales, aplicar controles de acceso y cumplir con las regulaciones: Obtenga una demostración 1:1 con BigID hoy mismo.

Autor

Alexis Porter

Responsable de marketing de contenidos

Alexis trabaja como Directora de Marketing de Contenidos para BigID, proveedor líder de DSPM. Se especializa en ayudar a las nuevas empresas tecnológicas a crear y perfeccionar su voz para contar historias más convincentes que resuenen con diversos públicos. Tiene una licenciatura en Escritura Profesional y un máster en Comunicación de Marketing por la Universidad de Denver. Alexis reside en Orlando, Florida.