Kategorie: IDOR

Ein Hotel mit einem falschen Schlüsselprinzip Stell dir vor, du gehst in ein Hotel, und jede Zimmertür hat denselben Schlüssel. Dein Schlüssel für Zimmer 101 öffnet plötzlich auch 102, 103 und 104. Klingt absurd? Genau das passiert im Internet häufiger, als man denkt – und es hat sogar einen Namen: Insecure Direct Object Reference (IDOR).…

Wo IDORs am häufigsten auftreten IDOR-Schwachstellen verstecken sich oft an Stellen, die auf den ersten Blick völlig harmlos wirken. Typische Angriffsflächen sind: Der gemeinsame Nenner: Der Server vertraut dem Wert, den der Client mitschickt, anstatt selbst zu prüfen, ob der Nutzer auf dieses Objekt zugreifen darf. Ein Szenario aus dem Alltag Stell dir vor, du…

IDOR im Kontext von Broken Access Control IDOR ist ein Spezialfall von etwas Größerem: Broken Access Control. Während IDOR meist darum geht, dass man durch Manipulation einer ID fremde Daten sieht oder verändert, beschreibt Broken Access Control allgemein alle Schwachstellen, bei denen Autorisierungsprüfungen fehlen oder falsch umgesetzt sind. Das bedeutet: Wer IDOR versteht, hat schon…

Der erste Schritt: genauer hinschauen Um eine IDOR-Schwachstelle zu entdecken, braucht es keine Profi-Hacker-Skills. Alles beginnt damit, die Kommunikation zwischen Browser oder App und dem Server zu beobachten. Jede Aktion – sei es das Laden einer Profilseite, das Bearbeiten eines Dokuments oder das Abrufen einer Bestellung – erzeugt HTTP-Requests. Genau dort verstecken sich die Hinweise.…

Das Grundprinzip: Autorisierung auf Objektebene Die wichtigste Verteidigung gegen IDOR ist, dass der Server nicht nur prüft, ob ein Nutzer eingeloggt ist, sondern auch, ob er wirklich berechtigt ist, auf genau dieses Objekt zuzugreifen.Ein Login allein reicht nicht. Ein Nutzer kann authentifiziert sein und trotzdem fremde Daten anfragen. Darum braucht es eine zusätzliche Autorisierungsprüfung: Nur…