Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Системы контроля доступа подвержены уязвимости IDOR

31/07/23

insecure-direct-object-reference-vulnerability

Веб-приложения подвержены угрозе кибератак из-за уязвимостей в системе контроля доступа, предупреждают агентства безопасности Австралии и США. В совместном заявлении они указывают на опасность так называемых уязвимостей IDOR (Insecure Direct Object Reference), которые позволяют злоумышленникам получать несанкционированный доступ к чужим данным, изменять или удалять их, передает Securitylab.

Уязвимости IDOR возникают, когда веб-приложение использует входные данные пользователя или идентификатор для прямого доступа к внутреннему ресурсу, например, записи в базе данных, без дополнительных проверок. Типичный пример уязвимости IDOR - это возможность пользователя легко изменить URL (например, https://example[.]site/details.php?id=12345 ) для получения запрещенных данных другой транзакции (то есть https://example[.]site/details.php?id=67890) .

“Уязвимости IDOR - это уязвимости контроля доступа, позволяющие злоумышленникам изменять или удалять данные или получать доступ к конфиденциальным данным, отправляя запросы на веб-сайт или веб-приложение программного интерфейса (API), указывая идентификатор пользователя других, действительных пользователей”, - говорится в заявлении. “Эти запросы успешны там, где отсутствует достаточная проверка подлинности и авторизации”.

Авторы заявления - Австралийский центр кибербезопасности (ACSC) Австралийское управления связи, Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) и Агентство национальной безопасности США (АНБ) — отметили, что злоумышленники злоупотребляют такими недостатками для компрометации личных данных, финансовой и медицинской информации миллионов пользователей и потребителей.

Для предотвращения угроз рекомендуется, чтобы поставщики, дизайнеры и разработчики принимали принципы "врожденной защищенности" (Security-by-Design and -Default), чтобы программное обеспечение выполняло проверки подлинности и авторизации для каждого запроса, который изменяет, удаляет и получает доступ к чувствительным данным.

Это заявление было сделано вскоре после того, как CISA опубликовало свой анализ данных, собранных из оценок рисков и уязвимостей (RVAs), проведенных в нескольких федеральных гражданских исполнительных органах (FCEB), а также в приоритетных частных и общественных операторах критической инфраструктуры.

Исследование показало, что “Действительные аккаунты были самой распространенной успешной техникой атаки, ответственной за 54% успешных попыток”, за которыми следовали ссылки целевого фишинга (33.8%), вложения целевого фишинг(3.3%) и внешние удаленные сервисы (2.9%) .

Действительные аккаунты, которые могут быть как бывшими аккаунтами сотрудников, которые не были удалены из активного каталога, так и аккаунтами администратора по умолчанию, также стали основным вектором для установления постоянства в скомпрометированной сети (56.1%), эскалации привилегий (42.9%) и обхода защиты (17.5%).

Чтобы защититься от успешной техники действительных аккаунтов, субъекты критической инфраструктуры должны внедрять строгие политики паролей, такие как устойчивая к фишингу [многофакторная аутентификация], и контролировать журналы доступа и журналы связи в сети, чтобы обнаруживать необычный доступ”, - говорит CISA.

 

Темы:СШАИсследованиеУгрозыCISAInsecure Direct Object Reference
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...