Open in app

Sign in

Write

Sign in

Memahami IDOR(Insecure Direct Object References)

Ridho Marhaban
3 min readNov 13, 2020

--

Apa itu IDOR?

Referensi objek langsung (IDOR) yang tidak aman adalah jenis kerentanan kontrol akses yang muncul saat aplikasi menggunakan input yang disediakan pengguna untuk mengakses objek secara langsung. Istilah IDOR dipopulerkan oleh kemunculannya dalam Sepuluh Besar OWASP 2007. Namun, ini hanyalah satu contoh dari banyak kesalahan implementasi kontrol akses yang dapat menyebabkan pengelakan kontrol akses. Kerentanan IDOR paling sering dikaitkan dengan eskalasi hak istimewa horizontal, tetapi mereka juga dapat muncul dalam kaitannya dengan eskalasi hak istimewa vertikal.

Bagaimana Kerentanan IDOR Terjadi?

Sebagian besar aplikasi web menggunakan ID sederhana untuk mereferensikan objek. Misalnya, pengguna dalam database biasanya akan dirujuk melalui ID pengguna. ID pengguna yang sama adalah kunci utama ke kolom database yang berisi informasi pengguna dan dibuat secara otomatis. Algoritme pembuatan kunci database sangat sederhana : biasanya menggunakan bilangan bulat yang tersedia berikutnya. Mekanisme pembuatan ID database yang sama digunakan untuk semua jenis catatan database lainnya. Jika perlu untuk mempertahankan pendekatan ini, pengembang setidaknya harus benar-benar memastikan bahwa lebih dari sekadar referensi diperlukan untuk mengakses sumber daya. Misalnya, aplikasi web menampilkan detail transaksi menggunakan URL berikut :

Attacker dapat mencoba mengganti nilai parameter id 74656 dengan nilai serupa lainnya, misalnya :

karena disebabkan Otorisasi hak akses suatu data tidak ada. sehingga Terdapat kebocoran data, karena penyerang dapat memanfaatkan parameter tersebut untuk mengakses data lainnya. rekomendasi Mengimplementasikan access control terhadap suatu data sensitif.

IDOR menjadi salah satu penyebab risiko keamanan data

Contoh sederhana dari kerentanan IDOR adalah sebagai berikut. Anda memiliki user id 1111 untuk sebuah website dengan alamat tokoABC.com. Ketika Anda ingin mengakses data Anda di dalam website, maka format URL yang akan ditampilkan adalah tokoABC.com/userid/data. Sehingga data Anda akan tampil dengan URL tokoABC.com/1111 /data. Ketika Anda mengubah parameter user id menjadi 55555, kemudian mengakses URL tokoABC.com/55555/data, maka Anda bisa melihat data pribadi pemilik user id tersebut tanpa harus melewati proses otorisasi terlebih dahulu. Celah keamanan inilah yang dinamakan kerentanan IDOR. Jika keamanan data tidak Anda lindungi, maka perusahaan akan mengalami pelanggaran data sehingga menimbulkan banyak kerugian bagi perusahaan dan pelanggan. Data rahasia yang tersimpan tidak hanya bisa dilihat namun juga bisa diubah oleh user yang lain. Selain itu, perusahaan juga akan kehilangan kepercayaan serta mendapat citra yang buruk karena tidak bisa memberikan perlindungan kepada pelanggan.

Bagaimana Cara Mengatasi nya?

melakukan penetration testing. Penetration testing atau pentest merupakan serangkaian proses yang dilakukan oleh ahli ethical hacking untuk menguji sistem atau jaringan. Pengujian ini dilakukan untuk memastikan apakah sistem Anda memiliki celah keamanan. Dengan melakukan pentest maka bug IDOR dapat Anda temukan sehingga perusahaan dapat bertindak cepat dan terhindar dari pelanggaran data.

Sign up to discover human stories that deepen your understanding of the world.

Free

Distraction-free reading. No ads.

Organize your knowledge with lists and highlights.

Tell your story. Find your audience.

Membership

Read member-only stories

Support writers you read most

Earn money for your writing

Listen to audio narrations

Read offline with the Medium app

Idor
Idor Vulnerability
Cybersecurity

--

--

Ridho Marhaban
Ridho Marhaban

Written by Ridho Marhaban

88 Followers
162 Following

Penetration Testing

No responses yet

Write a response

What are your thoughts?

Help

Status

About

Careers

Press

Blog

Privacy

Rules

Terms

Text to speech