Comprendre Références d'objets directes non sécurisées

Une étude menée par l'entreprise de cybersécurité Checkmarx a révélé que des vulnérabilités IDOR étaient présentes dans 21% des applications testées. Une autre étude réalisée par OWASP (projet ouvert de sécurité des applications Web) ont découvert que les vulnérabilités IDOR étaient l’un des dix risques de sécurité des applications Web les plus critiques.

Compte tenu de la prévalence des vulnérabilités IDOR et de l'impact potentiel des attaques IDOR sur la sécurité des données d'une organisation, il est important pour ces dernières de prioriser la détection et la prévention de ces vulnérabilités et de mettre en œuvre des mesures de sécurité pour atténuer le risque d'attaques IDOR. Cela comprend la réalisation d'évaluations de sécurité régulières, la mise en place de contrôles d'accès et d'autorisations, et la sensibilisation des employés aux risques liés aux vulnérabilités IDOR.

Qu'est-ce qu'une référence d'objet direct non sécurisée (IDOR) ?

Une référence directe à un objet non sécurisée se produit lorsqu'une application logicielle permet à un utilisateur d'accéder directement à une ressource ou à un objet et de le manipuler sans autorisation ni validation appropriées. Cela signifie qu'un attaquant peut exploiter cette vulnérabilité pour obtenir un accès non autorisé à des données ou des ressources sensibles en référençant directement un objet ou une ressource qui ne devrait pas lui être accessible.

Vulnérabilités IDOR courantes

Les références directes d'objet (IDOR) non sécurisées présentent plusieurs risques pour une application logicielle et ses utilisateurs. Parmi ces risques, on peut citer :

• Accès non autorisé : Les attaquants peuvent exploiter les vulnérabilités IDOR pour accéder à des données ou des ressources sensibles qu’ils ne sont pas autorisés à consulter ou à manipuler.
• Manipulation des données : Les attaquants peuvent utiliser IDOR pour manipuler ou supprimer des données, ce qui peut entraîner une perte ou une corruption des données.
• Vol de données : Les attaquants peuvent utiliser IDOR pour voler des données sensibles telles que des informations personnelles, des dossiers financiers ou des secrets commerciaux.
• Déni de service : Les attaquants peuvent utiliser IDOR pour épuiser les ressources du système en accédant ou en manipulant à plusieurs reprises un objet ou une ressource spécifique, ce qui peut entraîner des pannes ou des temps d'arrêt du système.
• Atteinte à la réputation : Si une application logicielle est connue pour présenter des vulnérabilités IDOR, cela peut nuire à la réputation de l’application et de ses développeurs, entraînant une perte de confiance et de crédibilité parmi les utilisateurs.

Exemples d'attaques IDOR

Les attaquants peuvent exploiter les vulnérabilités IDOR d'une application logicielle de diverses manières. En voici quelques exemples :

• Prise de contrôle de compte : Un attaquant peut tenter une attaque IDOR en modifiant la valeur ID de l'URL pour accéder au compte d'un autre utilisateur. Par exemple, si l'URL du profil d'un utilisateur est « exemple.com/utilisateur/profil/1234 », l'attaquant peut modifier la valeur 1234 pour accéder au profil d'un autre utilisateur, ce qui peut contenir des informations sensibles ou lui permettre de prendre le contrôle du compte.
• Accès non autorisé aux données : Un attaquant peut tenter une attaque IDOR en manipulant la valeur ID de l'URL pour accéder à des données auxquelles il ne devrait pas avoir accès. Par exemple, si l'URL de l'historique des commandes d'un utilisateur est « exemple.com/commande/historique/1234 », un attaquant peut modifier la valeur 1234 pour accéder à l'historique des commandes d'un autre utilisateur.
• Exploiter les champs cachés : Un attaquant peut tenter une attaque IDOR en exploitant les champs masqués d'un formulaire web. Par exemple, si un formulaire web contient un champ masqué pour un identifiant utilisateur, un attaquant peut modifier la valeur de ce champ pour accéder ou manipuler des données auxquelles il ne devrait pas avoir accès.
• Contournement des contrôles d'autorisation : Un attaquant peut tenter une attaque IDOR en contournant les contrôles d'autorisation pour accéder à des ressources restreintes. Par exemple, si une application utilise des identifiants séquentiels pour référencer des ressources, un attaquant peut deviner la valeur d'identifiant d'une ressource restreinte et contourner les contrôles d'autorisation pour y accéder.

Meilleures pratiques en matière de tests IDOR

Tester les références directes d'objets non sécurisées (IDOR) consiste à identifier et tester chaque objet ou ressource pouvant être directement référencé ou manipulé par un utilisateur sans autorisation. Voici quelques étapes pour réaliser un test IDOR :

1. Identifier tous les objets ou ressources : Créez une liste de tous les objets ou ressources qui peuvent être directement référencés ou manipulés par un utilisateur, y compris les URL, les points de terminaison d'API et les paramètres.
2. Tenter d'accéder à des ressources restreintes : Tenter d'accéder à des ressources auxquelles un utilisateur ne devrait pas avoir accès. Cela peut inclure la modification des paramètres d'une URL ou d'un point de terminaison d'API pour accéder à des ressources restreintes.
3. Tentative de manipulation des données : Tenter de manipuler des données en modifiant les paramètres d'une URL ou d'un point de terminaison d'API pour accéder et modifier des données qui ne devraient pas être accessibles ou modifiables.
4. Vérifier l'autorisation : Vérifiez que tous les objets ou ressources nécessitent une autorisation appropriée avant d’être consultés ou manipulés par un utilisateur.
5. Code de révision : Examinez le code pour vous assurer que les objets ou les ressources sont correctement validés et autorisés avant d’être consultés ou manipulés.
6. Répéter les tests : Répétez les tests pour tous les objets ou ressources pour vous assurer qu'aucune vulnérabilité IDOR n'est manquée.
7. Document et rapport : Documentez toutes les vulnérabilités trouvées et signalez-les à l’équipe de développement pour correction.

Considérations juridiques

Selon la juridiction, les attaques IDOR peuvent relever de diverses catégories juridiques, telles que la fraude informatique, l'accès non autorisé ou le vol de secrets commerciaux.

Aux États-Unis, le Loi sur la fraude et les abus informatiques (CFAA) Il s'agit d'une loi fédérale qui criminalise diverses formes de fraude et de piratage informatique, notamment l'accès non autorisé aux systèmes et réseaux informatiques. En vertu de la CFAA, les attaques IDOR peuvent être considérées comme une forme d'accès non autorisé, passible d'amendes et d'emprisonnement.

Outre les lois fédérales, de nombreux États et pays disposent de leurs propres lois et réglementations régissant la cybercriminalité et la confidentialité des données. Par exemple, Règlement général sur la protection des données (RGPD) L'Union européenne impose des réglementations strictes en matière de protection des données et de la vie privée et prévoit des sanctions sévères en cas de violation, notamment les attaques IDOR.

Prévention des références d'objet direct non sécurisées

La prévention des vulnérabilités de référence directe aux objets (IDOR) implique la mise en œuvre de mesures de sécurité appropriées pour garantir que les utilisateurs ne puissent pas accéder directement aux ressources ni les manipuler sans autorisation. Voici quelques mesures pour prévenir les IDOR :

1. Mettre en œuvre des contrôles d’accès : Implémentez des contrôles d’accès qui restreignent l’accès aux ressources en fonction des autorisations et des rôles des utilisateurs.
2. Utiliser des identifiants uniques : Utilisez des identifiants uniques pour référencer des objets ou des ressources plutôt que de vous fier à des valeurs séquentielles ou facilement devinables.
3. Valider la saisie de l'utilisateur : Validez les entrées de l'utilisateur pour vous assurer qu'elles sont conformes aux formats attendus et qu'elles ne tentent pas d'accéder ou de manipuler des ressources restreintes.
4. Utiliser des références indirectes : Utilisez des références indirectes, telles que des identifiants de base de données ou des hachages, pour référencer des objets ou des ressources plutôt que de vous fier à des références directes.
5. Mettre en œuvre des contrôles d’autorisation : Implémentez des contrôles d’autorisation à chaque niveau de l’application pour garantir que les utilisateurs sont autorisés à accéder aux ressources ou à les manipuler.
6. Utiliser le cryptage : Utilisez le cryptage pour protéger les données et les ressources sensibles contre tout accès ou manipulation non autorisés.
7. Tester et auditer régulièrement : Testez et auditez régulièrement l'application pour détecter les vulnérabilités IDOR afin de garantir qu'elles sont découvertes et corrigées en temps opportun.

Approche de BigID en matière de référence directe d'objet non sécurisée (IDOR)

BigID est une plateforme d'intelligence de données pour vie privée, sécuritéet gouvernance plateforme qui aide les organisations à prévenir et à gérer les vulnérabilités de référence directe d'objet (IDOR) non sécurisées en identifiant et classification des données sensibles Dans toute l'organisation. Voici quelques exemples de la contribution de BigID :

• Découverte de données : BigID exploite des technologies avancées d'IA et d'apprentissage automatique pour découvrir et classer automatiquement les données sensibles sur l'ensemble de l'infrastructure d'une organisation, y compris les bases de données, les serveurs de fichiers, le stockage cloud et les applications. Cela peut aider les organisations à identifier les vulnérabilités IDOR potentielles et à prioriser les mesures correctives.
• Contrôles d'accès : Application Access Intelligence de BigID applique des contrôles d'accès pour empêcher tout accès non autorisé aux données sensibles. Cela comprend l'identification des utilisateurs et de leurs niveaux d'accès, la définition des autorisations et des politiques d'accès aux données, et la surveillance des accès pour détecter et prévenir les attaques IDOR.
• Gestion de la conformité : BigID peut aider les organisations à se conformer à diverses réglementations en matière de confidentialité et de sécurité des données, telles que le RGPD, CCPAet HIPAACela comprend la surveillance de l'activité d'accès pour détecter et prévenir les attaques IDOR et la génération de rapports de conformité pour les audits et les dépôts réglementaires.
• Assainissement : L'application de remédiation des données de BigID fournit des recommandations pour remédier aux vulnérabilités IDOR, telles que l'amélioration des contrôles d'accès, la mise en œuvre d'identifiants uniques et la validation des entrées utilisateur.

Pour obtenir une meilleure visibilité sur vos données sensibles, appliquer des contrôles d'accès et vous conformer aux réglementations, obtenez une démonstration 1:1 avec BigID dès aujourd'hui.

Auteur

Alexis Porter

Responsable du marketing de contenu

Alexis est responsable du marketing de contenu pour BigID, fournisseur de DSPM leader sur le marché. Elle se spécialise dans l'aide aux startups technologiques pour qu'elles créent et affinent leur voix, afin de raconter des histoires plus convaincantes qui trouvent un écho auprès de divers publics. Elle est titulaire d'une licence en rédaction professionnelle et d'une maîtrise en communication marketing de l'Université de Denver. Alexis est basée à Orlando, en Floride.