ثغرة idor :
ثغرة IDOR تعتبر (Authorization Bug) Web Parameter Tampering وهي تحدث عندما يضع المبرمج متغيرا (user-input) والمستخدم يستطيع تغيير قيمة هذا المتغير, وهو غير مصرح بتغييره, ولهذا تم تسميتها (Insecure Direct Object References)
لمن لم يفهم ماذا اعني بكلمة "متغير" هو البراميترات مثلا عندما تشاهد موقع بهذا الشكل : http://evil.com/test?name=1337r00t
الname هو المتغير و 1337r00t هو قيمة المتغير .
مثال:
1- عندي موقع بيع دورات اختراق ولكن سعرها غالي طيب كيف اشتريها وسعرها غالي!!! مثلا هذا هو الموقع https://agp.root.com/sho=500 سعر الدورة 500 ريال !! طبعا نسوي اعتراض عن طريق البورب سويت نعدل القيمه الى https://agp.root.com/sho=8.00 ونضغط انتر وكذا شريت المنتج !!
2- طلب انشاء محادثه وجلب محادثات شخص اخر https://agp.root.com/sho الموقع هذا مثلا حقي وطلب مني عمر اعادة تعين كلمة مرور من خلال الدعم الفني وكان في هاكرز يفحص الموقع وقت الارسال فطلب مني الهكر محادثه ارسلتها له رابط الرساله هذا https://agp.root.com/sho=7944543.txt اش سوا الهكر عن طريق البورب سويت سوا اعتراض لطلب وغير القيمه الي بلون الاحمر الى رقم 1 الي هو الادمن https://agp.root.com/sho=1.txt ووصلته رسالة عمر الي هي كلمة المرور والبريد ودخل الموقع الهكر ورفع شل !!!!!!
اذا كانت مبرمج انت كيف تتجنب الثغره هذا؟
يجب عليك انك لما تعطي المستخدم الأمكانية على تغيير البيانات الحساسة او اللذي من الغير طبيعي تغييرها .
يرمز لثغرة ب CWE-639 المستوى خطير
التعليقات (0)
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !