Sicherheitsproblem kaum automatisch zu erkennen

IDOR-Schwachstelle gefährdet Einzelhändler und E-Commerce

Hackerone warnt in seinem jüngst veröffentlichten Blogbeitrag vor der wachsenden Bedrohung vieler Unternehmen des Einzelhandels und des E-Commerce durch sogenannte Insecure Direct Object References (oder IDOR).

Dabei handelt es sich um einen einfachen Fehler, der jedoch immer wieder zu finden ist und großes Bedrohungspotenzial aufweist. Wird diese Lücke ausgenutzt, können Angreifer Zugang zu sensiblen Daten oder Passwörtern erhalten und diese Informationen manipulieren. Auf Hackerone werden jeden Monat über 200 dieser Schwachstellen gefunden und sicher an Kunden gemeldet.

Anzeige

Bei Einzelhandels- und E-Commerce-Unternehmen machen allein die IDOR-Schwachstellen gewärtig bereits 15 Prozent der von Unternehmen an White-Hat-Hacker gezahlten Prämien aus. Aber auch in anderen Bereichen ist das Potenzial für Angreifer groß: IDOR-Schwachstellen stellen die größte Sicherheitslücke für Programme in den Branchen Behörden (18 %), Medizintechnik (36 %) und professionelle Dienstleistungen (31 %) dar.

Problematisch ist dabei insbesondere, dass IDORs nicht allein mit Hilfe von Tools erkannt werden können, sondern Kreativität und manuelle Sicherheitstests zur Identifizierung erfordern. Bei herkömmlichen Pentests können diese Schwachstellen folglich unentdeckt bleiben, es sei denn, ein Pentester prüft jeden möglichen Parameter in jedem Anfrageendpunkt.

Unternehmen sollten daher Gegenmaßnahmen ergreifen, um ihr Risiko zu minimieren. „IDORs zu vermeiden ist nur möglich, indem Unternehmen einen zuverlässigen Zugriffskontrollmechanismus aufbauen. Sie müssen hierzu die jeweils für ihr Szenario am besten geeignete Methode wählen, alle Zugriffe protokollieren und, wenn möglich, ein Audit mit einer Überprüfung der Post-Autorisierung durchführen“, sagt Hackerone-Hacker Manoel Abreu Netto, online besser bekannt als @manoelt.

Anzeige

Aber es gibt auch weitere Tipps, um die Gefährdung zu reduzieren:

  • Entwickler sollten die Anzeige von privaten Objektreferenzen wie Schlüsseln oder Dateinamen vermeiden
  • Die Validierung von Parametern sollte ordnungsgemäß implementiert werden
  • Die Verifizierung aller referenzierten Objekte sollte überprüft werden
  • Token sollten so generiert werden, dass sie nur dem Benutzer zugeordnet werden können und nicht öffentlich sind
  • Unternehmen sollten die Verwendung von UUIDs (Universally Unique IDentifier) anstelle von sequentiellen IDs unbedingt vermeiden, da UUIDs oft IDOR-Schwachstellen unentdeckt lassen

Weitere Details zu IDOR-Schwachstellen und was Unternehmen dagegen tun können, finden Sie im aktuellen Blogpost von Hackerone.

www.hackerone.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.