Bei Einzelhandels- und E-Commerce-Unternehmen machen allein die IDOR-Schwachstellen gewärtig bereits 15 Prozent der von Unternehmen an White-Hat-Hacker gezahlten Prämien aus. Aber auch in anderen Bereichen ist das Potenzial für Angreifer groß: IDOR-Schwachstellen stellen die größte Sicherheitslücke für Programme in den Branchen Behörden (18 %), Medizintechnik (36 %) und professionelle Dienstleistungen (31 %) dar.
Problematisch ist dabei insbesondere, dass IDORs nicht allein mit Hilfe von Tools erkannt werden können, sondern Kreativität und manuelle Sicherheitstests zur Identifizierung erfordern. Bei herkömmlichen Pentests können diese Schwachstellen folglich unentdeckt bleiben, es sei denn, ein Pentester prüft jeden möglichen Parameter in jedem Anfrageendpunkt.
Unternehmen sollten daher Gegenmaßnahmen ergreifen, um ihr Risiko zu minimieren. „IDORs zu vermeiden ist nur möglich, indem Unternehmen einen zuverlässigen Zugriffskontrollmechanismus aufbauen. Sie müssen hierzu die jeweils für ihr Szenario am besten geeignete Methode wählen, alle Zugriffe protokollieren und, wenn möglich, ein Audit mit einer Überprüfung der Post-Autorisierung durchführen“, sagt Hackerone-Hacker Manoel Abreu Netto, online besser bekannt als @manoelt.
Aber es gibt auch weitere Tipps, um die Gefährdung zu reduzieren:
- Entwickler sollten die Anzeige von privaten Objektreferenzen wie Schlüsseln oder Dateinamen vermeiden
- Die Validierung von Parametern sollte ordnungsgemäß implementiert werden
- Die Verifizierung aller referenzierten Objekte sollte überprüft werden
- Token sollten so generiert werden, dass sie nur dem Benutzer zugeordnet werden können und nicht öffentlich sind
- Unternehmen sollten die Verwendung von UUIDs (Universally Unique IDentifier) anstelle von sequentiellen IDs unbedingt vermeiden, da UUIDs oft IDOR-Schwachstellen unentdeckt lassen
Weitere Details zu IDOR-Schwachstellen und was Unternehmen dagegen tun können, finden Sie im aktuellen Blogpost von Hackerone.
Hackerone ist die Nr. 1 unter den hackergesteuerten Pentest- und Bug-Bounty-Plattformen. Hackerone hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor diese ausgenutzt werden können. Mehr Fortune-500-Unternehmen und Forbes Global 1000-Unternehmen vertrauen Hackerone als jeder anderen Hacker-basierten Sicherheitsalternative. Mit rund 2.000 Programmen bei den Kunden, darunter das US-Verteidigungsministerium, General Motors, Google, Goldman Sachs, PayPal, Hyatt, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, hat Hackerone geholfen, mehr als 170.000 Schwachstellen zu finden und einer wachsenden Gemeinschaft von über 750.000 Hackern mehr als 100 Millionen Dollar an Bug-Bounties zu gewähren. Hackerone hat seinen Hauptsitz in San Francisco und unterhält Niederlassungen in London, New York, den Niederlanden, Frankreich und Singapur. Das Unternehmen wurde von Fast Company zu den 50 World’s Most Innovative Companies 2020 gewählt.
Hackerone
22 4th Street, 5th Floor
USACA 94103 San Francisco
Telefon: +49 (89) 80090-819
http://www.hackerone.com
AxiCom GmbH
Telefon: +49 (89) 80090-819
E-Mail: matthias.uhl@axicom.com