IDOR漏洞安全防護刻不容緩!美澳資安機構警告,Web應用程式存取控制漏洞常導致大規模敏感資料外洩。本文解析IDOR造成的影響,並提供安裝修補程式、啟用滲透測試與部署防火牆等全方位安全防護建議。

澳大利亞網路安全中心(ACSC)、美國網路安全和基礎架構管理局(CISA)與美國國家安全局(NSA),於2023/07/27聯合發布網路安全諮詢,呼籲用戶、供應商、設計人員和開發人員,留意IDOR漏洞(Web應用程式存取控制漏洞),這些漏洞經常被攻擊者利用,而導致敏感資料外洩。


IDOR漏洞


一、漏洞描述

IDOR(Insecure Direct Object reference)漏洞是Web應用程式中存取控制的漏洞,在OWASP API安全前10名的API漏洞,可以讓攻擊者對網站或Web應用API參數(例如ID號碼、名稱或密鑰等)直接存取對象(例如資料庫記錄),在Web應用程式沒有確切驗證提交請求的用戶身份或授權時,會發生這種存取漏洞。


通常,這些漏洞的存在是因為控制參數被公開、在外部傳遞或容易被猜測,從而允許任何用戶使用或修改該參數。


二、漏洞造成的影響

(一)IDOR漏洞可能會影響的Web應用程式如下

 1、已安裝、部署在使用者環境的軟體

 2、用於雲端應用程式的軟體即服務(SaaS)

 3、用於雲端計算資源的基礎設施即服務(IaaS)

 4、組織內基礎設施的私有雲模型


(二)IDOR安全漏洞導致大規模數據洩漏的事件

 1、2021年10月不安全的跟蹤軟體,洩漏了全球數十萬台手機資料,包含簡訊、通話紀錄、照片和地理位置。

 2、2019年美國金融服務部門曝露超過8億份個人財務文件。

 3、2012年攻擊者利用IDOR漏洞從美國通信部門的可公開訪問網站上,竊取超過100,000名行動裝置所有者的個人資料。


三、安全防護建議

(一)驗證用戶輸入,嚴格驗證參數的長度和格式是否正確

(二)選擇網路應用程式時須進行安全確認

       1、透過HASH或簽名來驗證產品的完整性

       2、使用前確認是否有過時、易受攻擊或未經授權的應用程式

      (三)盡快為Web應用程式安裝修補程式

      (四)將應用程式啟用log以警示傳送的訊息曾遭到篡改

         1、建立基準以利有效識別異常行為

        (五)建立、維護和實施基本的網路事件回應計畫(IRP)和相關通訊計畫

        (六)對Web使用DAST或其它漏洞掃描器來檢測是否有IDOR漏洞

        (七)對Web定期進行滲透測試

        (八)使用Web應用程式防火牆(WAF)來過濾、監控和阻止流向Web應用程式的惡意HTTP/S流量

        (九)使用資料外洩防護(DLP)工具,防止未經授權的資料離開應用程式

        有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!

        參考資料:

        1.https://www.cisa.gov/news-events/alerts/2023/07/27/cisa-and-partners-release-joint-cybersecurity-advisory-preventing-web-application-access-control

        2.https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-208a

        3.https://www.bleepingcomputer.com/news/security/cisa-warns-of-breach-risks-from-idor-web-app-vulnerabilities/

        4.https://kb.cert.org/vuls/id/229438

        5.https://www.cisa.gov/topics/critical-infrastructure-security-and-resilience/critical-infrastructure-sectors/financial-services-sector

        6.https://techcrunch.com/2022/02/22/stalkerware-network-spilling-data/

        7.https://dreamlab.net/en/blog/post/starbucks-idor-how-we-prevented-an-information-leak-of-6-million-starbucks-customers/

        8.https://twitter.com/CISACyber