[Owasp-turkey] Insecure Direct Object Reference (Emniyetsiz Doğrudan Nesne Referansı)

Bedirhan Urgun bedirhanurgun at gmail.com
Thu Jan 21 02:09:18 EST 2010


Merhaba,
Basliktaki madde organizasyonlarin karsilasabilecegi en kritik web
uygulamalari guvenlik
risklerinden<http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf>biri.
Kisaca su sekilde anlatilabilir;

http://sunucu/hesapgoster?hesapNo=5392

hesapNo parametresi veritabaninda bir kullanicinin hesabina denk geliyor.
Yani dogrudan bir referans. Gerekli yetkilendirme kontrolu yapilmamissa,
hesapNo degistirilerek 3uncu sahislarin hesap detaylarina ulasilabilir.

Cozumlerden biri, istemciye direk olarak hesap no yerine dolayli bir
referans gondermek. Mesela kisinin iki hesabi var;

1 -> 5392
2 -> 7823

http://sunucu/hesapgoster?hesapNo=1

yukaridaki istek ilk hesaba denk gelecek sekilde kod yazilabilir. Boylece
saldirgan hesapNo degerini 1 veya 2 disinda bir seye esitlerse, hic bir
bilgi geri donmeyecek cunku mesela 3 degeri icin bir referanslama yok.
Bu guzel bir onlem ama CSRF saldirilari icin acik bir kapi birakiyor. Eger
CSRF onlemi yoksa sistemde ve asagidaki istek

http://sunucu/hesapsil?hesapNo=1

birinci hesabi *siliyorsa*, saldirganin saldiri URL'sini olusturabilmesi
icin artik hesap numarasini tahmin etmesine gerek yok. Cunku herkesin 1
numarali bir hesabi var... Iyice yayginlasmaya baslayan RESTful turu
teknolojilerle bu tur durumlari (URL tiplerini) daha cok gorebiliriz.

bedirhan
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100121/455a3283/attachment.html 


More information about the Owasp-turkey mailing list