資訊安全新知分享
NEITHNET 資安實驗室
澳大利亞網路安全中心(ACSC)、美國網路安全和基礎架構管理局(CISA)與美國國家安全局(NSA),於2023/07/27聯合發布網路安全諮詢,呼籲用戶、供應商、設計人員和開發人員,留意IDOR漏洞(Web應用程式存取控制漏洞),這些漏洞經常被攻擊者利用,而導致敏感資料外洩。
漏洞描述
IDOR(Insecure Direct Object reference)漏洞是Web應用程式中存取控制的漏洞,在OWASP API安全前10名的API漏洞,可以讓攻擊者對網站或Web應用API參數(例如ID號碼、名稱或密鑰等)直接存取對象(例如資料庫記錄),在Web應用程式沒有確切驗證提交請求的用戶身份或授權時,會發生這種存取漏洞。
通常,這些漏洞的存在是因為控制參數被公開、在外部傳遞或容易被猜測,從而允許任何用戶使用或修改該參數。
造成的影響
IDOR 漏洞可能會影響任何Web應用程式,包括:
- 已安裝、部署在使用者環境的軟體
- 用於雲端應用程式的軟體即服務(SaaS)
- 用於雲端計算資源的基礎設施即服務(IaaS)
- 組織內基礎設施的私有雲模型
IDOR 安全漏洞導致大規模數據洩漏的事件:
- 2021年10月不安全的跟蹤軟體,洩漏了全球數十萬台手機資料,包含簡訊、通話紀錄、照片和地理位置。
- 2019年美國金融服務部門曝露超過8億份個人財務文件。
- 2012年攻擊者利用IDOR漏洞從美國通信部門的可公開訪問網站上,竊取超過100,000名行動裝置所有者的個人資料。
安全防護建議
- 驗證用戶輸入,嚴格驗證參數的長度和格式是否正確
- 選擇網路應用程式時須進行安全確認
- 透過HASH或簽名來驗證產品的完整性
- 使用前確認是否有過時、易受攻擊或未經授權的應用程式
- 盡快為Web應用程式安裝修補程式
- 將應用程式啟用log以警示傳送的訊息曾遭到篡改
- 建立基準以利有效識別異常行為
- 建立、維護和實施基本的網路事件回應計畫(IRP)和相關通訊計畫
- 對Web使用DAST或其它漏洞掃描器來檢測是否有IDOR漏洞
- 對Web定期進行滲透測試
- 使用Web應用程式防火牆(WAF)來過濾、監控和阻止流向Web應用程式的惡意HTTP/S流量
- 使用資料外洩防護(DLP)工具,防止未經授權的資料離開應用程式
更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com。
參考來源:
- https://www.cisa.gov/news-events/alerts/2023/07/27/cisa-and-partners-release-joint-cybersecurity-advisory-preventing-web-application-access-control
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-208a
- https://www.bleepingcomputer.com/news/security/cisa-warns-of-breach-risks-from-idor-web-app-vulnerabilities/
- https://kb.cert.org/vuls/id/229438
- https://www.cisa.gov/topics/critical-infrastructure-security-and-resilience/critical-infrastructure-sectors/financial-services-sector
- https://techcrunch.com/2022/02/22/stalkerware-network-spilling-data/
- https://dreamlab.net/en/blog/post/starbucks-idor-how-we-prevented-an-information-leak-of-6-million-starbucks-customers/
- https://twitter.com/CISACyber