安全でない直接オブジェクト参照

安全でない直接オブジェクト参照IDOR )は、デジタルセキュリティにおけるアクセス制御の 脆弱性の一種です[1]

これは、Webアプリケーションまたはアプリケーションプログラミングインターフェースが、内部データベース内のオブジェクトへの直接アクセスに識別子を使用しているものの、アクセス制御や認証をチェックしていない場合に発生する可能性があります。例えば、Webサイトに直接送信されるリクエストURLが、簡単に列挙できる一意の識別子(などhttps://example.com/document/1234)を使用している場合、すべてのレコードへの意図しないアクセスを悪用される可能性があります。

ディレクトリトラバーサル攻撃はIDORの特殊なケースと考えられている。[2]

この脆弱性は非常に重大な懸念事項であり、長年にわたり、オープンWebアプリケーションセキュリティプロジェクト(OWASP)のトップ10の脆弱性の1つに挙げられてきました。[3]

いくつかのテクニックを使って連続IDをダークキーに変換することができます。[4]

2020年11月、サイレント・ブリーチ社は米国国防総省のウェブサイトにIDOR脆弱性を発見し、国防総省の脆弱性開示プログラムを通じて非公開で報告しました。このバグは、アカウントシステムにユーザーセッションメカニズムを追加することで修正され、サイト上での事前認証が必要となりました。[5]

2021年1月、ソーシャルネットワーキングサービス「パーラー」 が投稿の連続識別子を使用しており、これによりサービスからテラバイト単位のデータがスクレイピングされたと報告された。このプロジェクトの責任者である研究者は、これは不正確であると述べた。 [6] [7]

参考文献

  1. ^ 「安全でない直接オブジェクト参照(IDOR) | Web Security Academy」portswigger.net . 2021年1月12日閲覧
  2. ^ Karande, Chetan. 「ノードアプリケーションのセキュリティ保護 - 4. 安全でない直接オブジェクト参照」www.oreilly.com . 2021年1月12日閲覧
  3. ^ Solomon, Howard (2021年1月12日). 「一般的な開発ミスがParlerの膨大なデータ盗難につながった可能性が高いと専門家が語る」IT World Canada News . 2021年1月12日閲覧。[永久リンク切れ]
  4. ^ Contieri, Maximiliano (2025年5月17日). 「リファクタリング 028 - 連続するIDをダークキーに置き換える」. Clean Code Cookbook . 2025年5月17日閲覧
  5. ^ Cimpanu, Catalin. 「バグハンターが国防総省のアカウント乗っ取りバグで『今月の研究者』賞を受賞」ZDNet . 2021年1月12日閲覧
  6. ^ Greenberg, Andy (2021年1月12日). 「An Absurdly Basic Bug Let Anyone Grab All of Parler's Data」. Wired . 2021年1月12日時点のオリジナルよりアーカイブ2021年1月12日閲覧。
  7. ^ @donk_enby (2021年1月30日). 「また、多くのニュース報道では投稿IDが連番であると主張していました。実際はそうではありませんでしたが、https://github.com/d0nk/parler-tricks/blob/main/parler/conversion.py#L22 (このエンドポイントはiOSアプリにのみ存在し、私の知る限り実際には何も使われていませんでした)」(ツイート). 2021年1月30日時点のオリジナルからアーカイブ。 2021年2月12日閲覧Twitter経由。


「https://en.wikipedia.org/w/index.php?title=Insecure_direct_object_reference&oldid=1324341283」より取得