IDOR

IDOR singkatan dari "Insecure Direct Object References" atau "Insecure DOR". Ini adalah jenis kerentanan keamanan dalam aplikasi web di mana seorang penyerang dapat mengakses objek atau data yang seharusnya tidak dapat diakses olehnya. Ini terjadi ketika aplikasi tidak mengimplementasikan pengendalian akses yang memadai pada objek langsung dalam URL, parameter permintaan, atau input lainnya.

Kerentanan IDOR terjadi ketika seorang penyerang dapat memanipulasi nilai parameter yang dikirimkan ke server untuk merujuk pada objek yang tidak seharusnya dapat diakses olehnya. Ini dapat mengakibatkan penyerang mendapatkan akses ke data sensitif, seperti informasi pengguna lain, file yang tidak seharusnya dapat diunduh, atau bahkan mengubah data.

Contoh sederhana kerentanan IDOR adalah ketika sebuah aplikasi mengizinkan pengguna untuk mengakses profil pengguna lain hanya dengan mengubah nomor ID pengguna dalam URL. Jika tidak ada validasi yang memadai, penyerang dapat dengan mudah mengakses profil orang lain.

Kerentanan IDOR dapat ditemukan di berbagai tempat dalam aplikasi, seperti halaman profil pengguna, data sensitif, objek yang dapat diakses dengan URL langsung, atau fitur berbayar yang dapat diakses tanpa pembayaran.

Penting untuk mengimplementasikan pengendalian akses yang kuat, memvalidasi hak akses secara menyeluruh, dan menggunakan mekanisme otentikasi dan otorisasi yang baik untuk mencegah kerentanan IDOR. Selalu melakukan pengujian keamanan secara berkala dan mengidentifikasi potensi kerentanan seperti ini adalah langkah penting dalam menjaga keamanan aplikasi web.

Contoh Website rentan terhadap IDOR

Website E-Commerce

Web E-commerce jadi salah satu target hacker black hat untuk melakukan serangan terhadap situs e-commerce mereka mencari celah rentan idor pada website tersebut dan memanfaatkan kelemahan nya dengan cara ilegal.

Apa yang diretas?

yang diretas adalah halaman pembayaran, biasanya rentan idor terdapat pada halaman pembayaran contoh semisal kalian ingin membeli sebuah produk kita kasih contoh laptop HP dengan harga 10JT dan karena si website ini rentan IDOR, maka dengan mudah yang awalnya harga produk 10JT bisa jadi 100rb saja ngerii bukan? enak juga sih jadi murah ya belinya hemat wkwkwk.