Broken Access Control [ IDOR ve MFLAC arasındakı fark ]

ITISWHATITIS · 3 Tem 2023

İyi günler Türk Hack Team ailesi.

Şu anda okuduğunuz konuyu oluşturmak için THT'de arama yaptım ve farklı deneyimlere sahip arkadaşlarımız tarafından oluşturulmuş ve konu başlığında "IDOR" kelimesi geçen 22 konuyu (yani tüm konuları) okudum. Konulara eklenen videoları izledim.

Demek istediğim, IDOR nedir sorusuna cevap veren yeterince konu var, aşağıdaki linklerden konuları okuyabilir ve bilgi alabilirsiniz. (Ayrıntılı olarak IDOR zafiyetlerini açıklayan 3 konunu aşağıya bırakıyorum)

İdor Zafiyeti | Web Zafiyetleri #1
IDOR - Zaafiyetini Anlamak
IDOR Zafiyeti Nedir?

Bu konunun amacı ise, IDOR ile karıştırılan MFLAC güvenlik açığının farklarını ve kullanımını anlatmak.

IDOR nedir ?

IDOR (Insecure Direct Object Referance) - uygulamada nesnelerin doğrudan referanslarına dayalı yetkilendirme kontrollerinin eksik veya hatalı yapıldığı bir güvenlik açığıdır.

Güvenli Olmayan Doğrudan Nesne Referansları (IDOR), bir uygulama, kullanıcı tarafından sağlanan girdiye dayalı olarak nesnelere doğrudan erişim sağladığında ortaya çıkar. Bu güvenlik açığının bir sonucu olarak, saldırganlar yetkilendirmeyi atlayabilir ve sistemdeki veritabanı kayıtları veya dosyaları gibi kaynaklara doğrudan erişebilir.

Örnek: IDOR zafiyeti bulunan X sitede, kullanıcılar için id parametresine 1234, 1235, 1236 .. değerleri ile istek göndererek referans değerlerini kullanarak doğrudan nesnelere ulaşmış oluruz.

MFLAC nədir ?

MFLAC (Missing Function Level Access Control) - uygulamanın işlevlerine erişim yapmayı hedefler.

Bir uygulamanın, aşağıda gösterilen bir istekle kullanıcıların hesaplarını ve kullanıcı bilgilerini düzenlemesine izin verdiğini, ancak kullanıcıların hesaplarını silmesine teoride izin vermediğini varsayalım.

Bir kullanıcı hesabını düzenlemek yerine silmek isterse ne olur? Aşağıdaki isteyi inceleyin.

Bu istek, kullanıcı hesabını silmeyi başardığında, arayüzde kullanıcılara sunulmayan işlevi herhangi bir kullanıcının kötüye kullanabileceği anlamına gelir. Bunun nedeni, Eksik İşlev Düzeyinde Erişim Denetimi'dir.

SONUÇ:

Insecure Direct Object Reference, uygulamada nesnelerin doğrudan referanslarına dayalı yetkilendirme kontrollerinin eksik veya hatalı yapıldığı bir güvenlik açığıdır.

Missing Function Level Access Control, uygulama işlevlerine (fonksiyonlarına) dayalı yetkilendirme kontrollerinin eksik veya hatalı yapıldığı bir güvenlik açığıdır.

NOT: Broken Access Control (Bozuk Erişim Kontrolü) IDOR, MFLAC ve diger belirli zafiyet türlerini kapsar. Bu yazımda IDOR ve MFLAC zafiyetlerinin farklarına değindim. Umarım yararlı ola bilmişimdir.

Sorunlarınız varsa, lütfen sorun.
Okuduğunuz için Teşekkürler.

CH · 3 Tem 2023

Eline sağlık

ITISWHATITIS · 3 Tem 2023

xCheaTeR' Alıntı:
Eline sağlık

Teşekkürler

QuatrexDefacer · 3 Tem 2023

saol isime yarycak

ITISWHATITIS · 3 Tem 2023

QuatrexDefacer' Alıntı:
saol isime yarycak

Işlerinizde başarılar dilerim. Teşekkürler

'Atlas · 3 Tem 2023

Eline sağlık gerçekten güzel bir konu

"KARAHANLI" · 3 Tem 2023

ITISWHATITIS · 3 Tem 2023

H@cked BaBy' Alıntı:
Eline sağlık gerçekten güzel bir konu

KARAHANLI' Alıntı:

Teşekkür ederim arkadaşlar.
Böyle güzel Feedbackleriniz için ❤

help_23 · 3 Tem 2023

eline emeğine sağlık

Broken Access Control [ IDOR ve MFLAC arasındakı fark ]

ITISWHATITIS

Üye

CH

Uzman üye

ITISWHATITIS

Üye

QuatrexDefacer

Anka Team Junior

ITISWHATITIS

Üye

'Atlas

Kıdemli Üye

"KARAHANLI"

Kıdemli Üye

ITISWHATITIS

Üye

help_23

Üye

Sosyal medya sayfalarımız