IDOR漏洞安全防護刻不容緩!美澳資安機構警告,Web應用程式存取控制漏洞常導致大規模敏感資料外洩。本文解析IDOR造成的影響,並提供安裝修補程式、啟用滲透測試與部署防火牆等全方位安全防護建議。
澳大利亞網路安全中心(ACSC)、美國網路安全和基礎架構管理局(CISA)與美國國家安全局(NSA),於2023/07/27聯合發布網路安全諮詢,呼籲用戶、供應商、設計人員和開發人員,留意IDOR漏洞(Web應用程式存取控制漏洞),這些漏洞經常被攻擊者利用,而導致敏感資料外洩。

一、漏洞描述
IDOR(Insecure Direct Object reference)漏洞是Web應用程式中存取控制的漏洞,在OWASP API安全前10名的API漏洞,可以讓攻擊者對網站或Web應用API參數(例如ID號碼、名稱或密鑰等)直接存取對象(例如資料庫記錄),在Web應用程式沒有確切驗證提交請求的用戶身份或授權時,會發生這種存取漏洞。
通常,這些漏洞的存在是因為控制參數被公開、在外部傳遞或容易被猜測,從而允許任何用戶使用或修改該參數。
二、漏洞造成的影響
(一)IDOR漏洞可能會影響的Web應用程式如下
1、已安裝、部署在使用者環境的軟體
2、用於雲端應用程式的軟體即服務(SaaS)
3、用於雲端計算資源的基礎設施即服務(IaaS)
4、組織內基礎設施的私有雲模型
(二)IDOR安全漏洞導致大規模數據洩漏的事件
1、2021年10月不安全的跟蹤軟體,洩漏了全球數十萬台手機資料,包含簡訊、通話紀錄、照片和地理位置。
2、2019年美國金融服務部門曝露超過8億份個人財務文件。
3、2012年攻擊者利用IDOR漏洞從美國通信部門的可公開訪問網站上,竊取超過100,000名行動裝置所有者的個人資料。
三、安全防護建議
(一)驗證用戶輸入,嚴格驗證參數的長度和格式是否正確
(二)選擇網路應用程式時須進行安全確認
1、透過HASH或簽名來驗證產品的完整性
2、使用前確認是否有過時、易受攻擊或未經授權的應用程式
(三)盡快為Web應用程式安裝修補程式
(四)將應用程式啟用log以警示傳送的訊息曾遭到篡改
1、建立基準以利有效識別異常行為
(五)建立、維護和實施基本的網路事件回應計畫(IRP)和相關通訊計畫
(六)對Web使用DAST或其它漏洞掃描器來檢測是否有IDOR漏洞
(七)對Web定期進行滲透測試
(八)使用Web應用程式防火牆(WAF)來過濾、監控和阻止流向Web應用程式的惡意HTTP/S流量
(九)使用資料外洩防護(DLP)工具,防止未經授權的資料離開應用程式
有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!
1.https://www.cisa.gov/news-events/alerts/2023/07/27/cisa-and-partners-release-joint-cybersecurity-advisory-preventing-web-application-access-control
2.https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-208a
3.https://www.bleepingcomputer.com/news/security/cisa-warns-of-breach-risks-from-idor-web-app-vulnerabilities/
4.https://kb.cert.org/vuls/id/229438
5.https://www.cisa.gov/topics/critical-infrastructure-security-and-resilience/critical-infrastructure-sectors/financial-services-sector
6.https://techcrunch.com/2022/02/22/stalkerware-network-spilling-data/
7.https://dreamlab.net/en/blog/post/starbucks-idor-how-we-prevented-an-information-leak-of-6-million-starbucks-customers/
8.https://twitter.com/CISACyber