Xavfsiz to'g'ridan-to'g'ri obyektga havola - IDOR zaifligi nima?

Obyektga kirishni bloklamaganingizda nima bo'ladi? Salom, IDOR zaifligi

IDOR nima? Nima uchun ishlab chiquvchilar g'amxo'rlik qilishlari kerak?

IDOR nima? Xavfsiz to'g'ridan-to'g'ri obyekt ma'lumotnomasi (IDOR) - bu ilovalar tegishli kirish boshqaruvini amalga oshirmasdan foydalanuvchi identifikatorlari, fayllar yoki ma'lumotlar bazasi kalitlari kabi ichki obyektlarni fosh qilganda yuzaga keladigan muhim xavfsizlik kamchiligi. Xavfsizlik ishlab chiqish hayot aylanishi davomida integratsiya qilingan DevSecOps muhitida IDOR zaifliklarining oldini olish maxfiy ma'lumotlarni himoya qilish va tizim yaxlitligini saqlash uchun juda muhimdir.

IDOR zaifligi tajovuzkorlarga ruxsatsiz resurslarga kirish uchun obyekt havolalarini boshqarish (masalan, URLdagi foydalanuvchi identifikatorini o'zgartirish) imkonini beradi. Bu ma'lumotlarning oqishiga, maxfiylikning buzilishiga va tizim ichidagi ruxsatsiz harakatlarga olib kelishi mumkin. Masalan, agar API oxirgi nuqtasi kabi /api/user/123 so'rovchining uni ko'rishga vakolatli ekanligini tasdiqlamasdan maxfiy ma'lumotlarni qaytaradi, ilova xavfli to'g'ridan-to'g'ri obyekt havolasiga duch kelmoqda.

IDOR zaifligini tushunish va oldini olish nafaqat xavfsizlik guruhlari, balki ishlab chiquvchilar va DevOps muhandislari uchun ham juda muhimdir. Ishonchli kirishni boshqarish mexanizmlari va xavfsiz dizayn naqshlarini boshidanoq ta'minlash ushbu xavflarni ishlab chiqarishga yetib bormasdan oldin kamaytirishga yordam beradi. "IDOR nima?" degan savolga javob berish, standart bo'yicha xavfsiz arxitekturaga yo'naltirilgan asosiy qadamdir.

Nima uchun IDOR hali ham zamonaviy APIlarda mavjud va Pipelines?

Zamonaviy xavfsizlik tizimlarining keng tarqalishiga qaramay, OAuth, J.W.T.va RBAC, IDOR zaifliklari keng tarqalganligicha qolmoqda.

IDOR zaifliklarining keng tarqalgan sabablari:

  • Avtorizatsiyani amalga oshirmasdan obyekt identifikatorlarini tekshirish: Ishlab chiquvchilar obyektning mavjudligini (masalan, foydalanuvchi, tuzilish yoki jurnal fayli) tasdiqlashlari mumkin, ammo joriy so'rovchiga uni ko'rish yoki o'zgartirishga ruxsat berilganligini tasdiqlashni unutishadi.
  • Ichki makonni fosh qilish dashboardkirish tekshiruvisiz s: Ichki ilovalar ko'pincha "sukut bo'yicha xavfsiz" deb hisoblanadi va rolga asoslangan kirish cheklovlari cheklangan yoki umuman qo'llanilmaydi.
  • Ichki xavfsizlik teng deb faraz qilsak: Har bir foydalanuvchi uchun yoki har bir rol uchun tekshiruvlarni amalga oshirish o'rniga tarmoq chegaralariga (masalan, IP oq ro'yxatiga kiritish, VPNga kirish) tayanish xavfli to'g'ridan-to'g'ri obyekt havolalarining saqlanib qolishiga imkon beradi.
    Bu xatolar ko'pincha IDOR nima ekanligini noto'g'ri tushunishdan kelib chiqadi, chunki obyekt identifikatorining mavjudligi ruxsatnoma uchun proksi sifatida ko'rib chiqiladi.

Haqiqiy dunyo misollari:

  • CI tizimi qurilish artefaktlarini yuklab olish uchun URL manzillarini taqdim etadi, ammo so'rovchi vakolatli jamoaning bir qismi ekanligini tasdiqlamaydi.
  • Ichki qo'llab-quvvatlash dashboard xodimlarga rolga asoslangan kirishni tekshirmasdan, osongina taxmin qilinadigan identifikatorlardan foydalangan holda mijozlar profillarini qidirish imkonini beradi.
  • Ichki ishlab chiqilgan plaginlar yoki skriptlar nosozliklarni tuzatish paytida qulaylik yaratish uchun ma'lumotlarni autentifikatsiya qilinmagan so'nggi nuqtalar orqali ochib beradi.

Bularning har biri o'tkazib yuborilgan kirish nazorati natijasida yuzaga keladigan haqiqiy IDOR zaifligini ko'rsatadi.

Haqiqiy ish oqimlarida umumiy IDOR ta'sir qilish nuqtalari

IDOR zaifliklari rivojlanishda tez-tez yuzaga chiqadi pipelineobyekt darajasidagi kirish tekshiruvlari e'tibordan chetda qolganda, s, ichki vositalar va APIlar.

Haqiqiy dunyo misollari:

  • Artefaktlarni yaratish: CI/CD platformalar artefaktlarni oldindan aytib bo'ladigan URL manzillarida saqlashi mumkin. Agar kirish tekshiruvlari mavjud bo'lmasa, bu so'nggi nuqtalar xavfli to'g'ridan-to'g'ri obyekt havolalariga aylanishi mumkin.
  • Jurnal fayllari: So'rovchining rolini tasdiqlamasdan identifikatorlarga asoslangan jurnallarni qaytaradigan vositalar yana bir IDOR zaifligini keltirib chiqarishi mumkin.
  • Qo'llab-quvvatlash vositalari: Ichki kirishni avtorizatsiya bilan tenglashtiradigan tizimlar taxmin qilinadigan obyekt havolalari orqali noto'g'ri foydalanishga moyil.

Nazariy kamchiliklar:

  • Konfiguratsiya fayllari: Ta'sir qilish /config/production yoki autentifikatsiya va avtorizatsiyani amalga oshirmasdan shunga o'xshash so'nggi nuqtalar, ayniqsa sirlar joylashtirilgan bo'lsa, xavfli to'g'ridan-to'g'ri obyekt havolasiga olib keladi.

Barcha holatlarda, kamchilik ID ni bilish yetarli deb taxmin qilishda yotadi; IDOR amalda aynan shuni ifodalaydi.

Dasturlash vositalari, CI plaginlari va ichki API-larda IDORni qanday aniqlash va tekshirish mumkin

Aniqlash IDOR nima ekanligini va obyektga kirish haqidagi taxminlar kodda qanday namoyon bo'lishini tushunishni o'z ichiga oladi.

IDOR zaifligining belgilari:

  • Faqat obyekt identifikatorlariga asoslangan maxfiy ma'lumotlarni qaytaradigan so'nggi nuqtalar.
  • Ob'ektlarni sanab o'tish mumkinligini ko'rsatadigan naqshlar.
  • Foydalanuvchi roliga asoslangan minimal kirish cheklovlariga ega yoki umuman cheklovlarsiz ichki vositalar.

Aniqlash strategiyasi:

  • Oxirgi nuqtalar foydalanuvchi tomonidan taqdim etilgan obyekt havolalariga qanday bog'liqligini baholang.
  • Kirish mantig'i qayerda yo'qligini yoki bo'shashgan qo'llanilishini aniqlang.
  • Ruxsatsiz kirish bloklanganligini tasdiqlash uchun so'rovlarni ushlab olish vositalari yoki API sinovchilari yordamida simulyatsiya qiling.

Haqiqiy dunyo auditining maqsadlari:

  • Masalan, oxirgi nuqtalar /build/{id}/artifact.
  • Dashboards ochiq so'rov parametrlaridan konfiguratsiya tafsilotlarini ko'rsatmoqda.
  • Kirishni tekshirishsiz identifikatorlardan foydalanadigan jurnallar yoki metrik panellar.

IDOR nima ekanligini tushunish ishlab chiquvchilar guruhlariga obyekt xavfsizligini proaktiv ravishda tekshirish imkonini beradi.

IDOR zaifliklarining oldini qanday olish mumkin Pipelineva API'lar

Oldini olish a IDOR zaifligi DevSecOpsning asosiy maqsadi hisoblanadi. Perimetr himoyasiga tayanish o'rniga, uni amalga oshirish ishlab chiqish hayot aylanishining har bir bosqichida amalga oshirilishi kerak.

DevSecOpsga yo'naltirilgan choralar:

  • Avtomatlashtirilgan sinov jarayonida CI/CD: Ruxsatsiz kirishni simulyatsiya qiling, bu sizning ishonchingizni ta'minlaydi pipeline ushlangan va bayroqlar fosh qilingan xavfli to'g'ridan-to'g'ri obyekt havolalari.
  • SAST va SCA Birlashtirishni bloklash bilan: Statik va kompozitsion tahlil vositalaridan foydalanib, o'zgarishlarni keltirib chiqaradigan yoki yomonlashtiradigan o'zgarishlarni bloklang IDOR zaifliklari.
  • Ishlab chiqish jarayonida so'nggi nuqta auditlari: Kodlarni ko'rib chiqishda obyekt darajasidagi kirishni asoslash va hujjatlashtirishni talab qilish.
  • Ichki vositalar uchun qo'llanma sharhlari: Asbob ichki vosita bo'lgani uchun sharhlarni o'tkazib yubormang. Ko'pchilik xavfli to'g'ridan-to'g'ri obyekt havolalari ichki tizimlarda yashiringan.

Xygeni IDORni aniqlash va oldini olishni qanday avtomatlashtiradi

IDOR zaifliklarining keng ko'lamda oldini olish qo'lda ko'rib chiqishdan uzluksiz, avtomatlashtirilgan ijroga o'tishni anglatadi. Aynan shu yerda Xygeniy kiradi.

Xygeni sizga xavfli obyekt havolalarini jo'natishdan oldin ularni qanday aniqlash va bloklashda yordam beradi:

  • IDOR naqshlarini real vaqt rejimida aniqlaydi
    Xygeni sizning tizimingizdagi so'nggi nuqta xatti-harakatlarini va manba kodidagi o'zgarishlarni tahlil qiladi CI/CD Ish oqimlariAgar u tegishli avtorizatsiya tekshiruvlarisiz to'g'ridan-to'g'ri obyektga kirishni aniqlasa, masalan /api/foydalanuvchi/123 rolni tasdiqlashsiz ta'sirlanganda, darhol ogohlantirish beradi.
  • Xavfsiz so'nggi nuqtalarni oldindan joylashtirishni bloklaydi
    Guardrails sizning CI da pipelinestop autentifikatsiya qilinmagan obyekt ma'lumotnomasi aniqlanganda hosil bo'ladi. Siz bularni o'rnatishingiz mumkin guardrails tuzilishni buzish, PRni amalga oshirmaslik yoki ko'rib chiqish uchun teglash. U GitHub Actions, GitLab CI, Jenkins va boshqalar bilan ishlaydi.
  • Topilmalarni PR va audit yo'llari bilan bog'laydi
    Har bir topilma bog'liq pull request, commitva hissa qo'shadigan ishlab chiquvchi. Bu sizga aniq kuzatuv imkonini beradi, o'zgarishni kim kiritgan, uni kim ko'rib chiqqan va u siyosatga mos keladimi yoki yo'qmi.

Haqiqiy dunyo misoli

Dasturchi yangi so'nggi nuqtani taklif qiladi:
/build/7020/artifact.zip faylini oling

Xygeni yigʻish identifikatori kirishni boshqarish bilan himoyalanganligini tekshiradi. Agar himoyalanmagan boʻlsa:

  • PR ogohlantirish bilan belgilangan
  • CI pipeline joylashtirishni bloklaydi
  • Audit jurnali voqeani qayd etadi, unda kim o'zgartirish kiritganligi va nimani tuzatish kerakligi ko'rsatiladi

Xygeni avtomatlashtirilgan himoyasi IDOR zaifliklarini ular boshlangan joyda, kodingizda va boshqa joylarda to'xtatishingizni ta'minlaydi. pipelines.

Xulosa: IDOR nazoratni qoidabuzarliklarga aylantiradi

Xo'sh, IDOR nima? Bu kod IDga ega bo'lish kirish huquqiga ega bo'lish bilan teng deb hisoblaganda yuzaga keladigan zaiflik. Bu ichki vositalarga, xuddi ommaga ochiq bo'lgan so'nggi nuqtalar kabi, tez-tez ta'sir qiladi.

Xavfsiz bo'lmagan to'g'ridan-to'g'ri obyekt havolalaridan himoya qilish har safar kirishni tasdiqlashni anglatadi. Aniqlashni avtomatlashtiring, xavfli joylashtirishlarni bloklang va butun stekingizda xavfsizlik siyosatini amalga oshiring.

Asosiy amaliyotlarning qisqacha mazmuni:

  • Obyekt darajasidagi avtorizatsiyani amalga oshirish.
  • Hech qachon ichki xavfsizlik teng deb o'ylamang.
  • IDOR nima ekanligini va uning kodingizda qanday namoyon bo'lishini tushuning.
  • IDOR zaifliklarini kuzatib boring pipeline.
  • Xygeni kabi vositalar bilan himoyani avtomatlashtiring.

IDOR zaifligi kengaytirilgan eksploitni talab qilmaydi, shunchaki e'tibordan chetda qolgan ma'lumotnoma. Uni boshqa birov topib olishidan oldin himoyalang!

sca-vositalari-dasturiy ta'minot-kompozitsiya-tahlil-vositalari
Dasturiy ta'minot xavflaringizni ustuvorlashtiring, bartaraf eting va himoya qiling
Bepul hisobingizni oling.
Kredit karta talab qilinmaydi.

Dasturiy ta'minotingizni ishlab chiqish va yetkazib berishni ta'minlang

Xygeni mahsulot to'plami bilan