IDOR Vulnerability : Menghapus Dokumen Pengguna Lain Tanpa Otorisasi Admin




Bug IDOR (Insecure Direct Object References) adalah jenis kerentanan keamanan yang terjadi ketika aplikasi web tidak melindungi objek yang diidentifikasi langsung. Jadi, jika attacker mengetahui ID yang valid untuk objek tertentu, mereka dapat dengan mudah mengakses, mengubah, atau menghapus objek tersebut tanpa otorisasi yang diperlukan.

Bug IDOR terutama terjadi di aplikasi web yang memungkinkan pengguna mengoperasikan objek atau data tertentu dengan menggunakan parameter yang tidak terenkripsi di URL. Saat pengguna meminta aksi tertentu, ID objek atau data tersimpan di URL, yang dapat dengan mudah dimanipulasi oleh attacker untuk melakukan aksi yang tidak sah.

Salah satu contoh kasus Bug IDOR adalah saat pengguna dapat menghapus dokumen mereka sendiri di aplikasi web. Dalam hal ini, pengguna biasanya akan mengirimkan permintaan DELETE menggunakan parameter seperti ID dokumen. Namun, jika parameter tersebut tidak divalidasi dan objek tidak dilindungi dengan baik, attacker dapat mengirimkan permintaan dengan parameter ID yang bukan milik dirinya dan menghapus dokumen pengguna lain dengan cara yang tidak sah.

Berikut ini adalah contoh kode POST dari Burp Suite untuk menguji kasus BUG IDOR pada fitur penghapusan dokumen pengguna:

POST /documents/delete HTTP/1.1
Host: website.com
Content-Length: 19
Content-Type: application/x-www-form-urlencoded
Cookie: SESSIONID=1234

document_id=12


Pada kode POST di atas, parameter document_id yang dikirimkan merupakan ID dokumen yang ingin dihapus. Untuk melakukan uji penetrasi, uji coba dengan mengubah parameter document_id menjadi ID dokumen pengguna lain dan mencoba menghapus dokumen tersebut. Jika server mengizinkan pengguna untuk menghapus dokumen tersebut tanpa otorisasi, maka kemungkinan ada kerentanan BUG IDOR.

Penting bagi pengembang aplikasi web untuk selalu memvalidasi parameter yang dikirim dan melindungi objek terhadap manipulasi yang tidak sah untuk mencegah terjadinya kasus BUG IDOR. Dengan mengidentifikasi dan memperbaiki kerentanan keamanan seperti ini, aplikasi web dapat menjadi lebih terjamin dan aman bagi pengguna.

0 Komentar