Anzeige

Hacker

Hackerone warnt in seinem jüngst veröffentlichten Blogbeitrag vor der wachsenden Bedrohung vieler Unternehmen des Einzelhandels und des E-Commerce durch sogenannte Insecure Direct Object References (oder IDOR).

Dabei handelt es sich um einen einfachen Fehler, der jedoch immer wieder zu finden ist und großes Bedrohungspotenzial aufweist. Wird diese Lücke ausgenutzt, können Angreifer Zugang zu sensiblen Daten oder Passwörtern erhalten und diese Informationen manipulieren. Auf Hackerone werden jeden Monat über 200 dieser Schwachstellen gefunden und sicher an Kunden gemeldet.

Bei Einzelhandels- und E-Commerce-Unternehmen machen allein die IDOR-Schwachstellen gewärtig bereits 15 Prozent der von Unternehmen an White-Hat-Hacker gezahlten Prämien aus. Aber auch in anderen Bereichen ist das Potenzial für Angreifer groß: IDOR-Schwachstellen stellen die größte Sicherheitslücke für Programme in den Branchen Behörden (18 %), Medizintechnik (36 %) und professionelle Dienstleistungen (31 %) dar.

Problematisch ist dabei insbesondere, dass IDORs nicht allein mit Hilfe von Tools erkannt werden können, sondern Kreativität und manuelle Sicherheitstests zur Identifizierung erfordern. Bei herkömmlichen Pentests können diese Schwachstellen folglich unentdeckt bleiben, es sei denn, ein Pentester prüft jeden möglichen Parameter in jedem Anfrageendpunkt.

Unternehmen sollten daher Gegenmaßnahmen ergreifen, um ihr Risiko zu minimieren. „IDORs zu vermeiden ist nur möglich, indem Unternehmen einen zuverlässigen Zugriffskontrollmechanismus aufbauen. Sie müssen hierzu die jeweils für ihr Szenario am besten geeignete Methode wählen, alle Zugriffe protokollieren und, wenn möglich, ein Audit mit einer Überprüfung der Post-Autorisierung durchführen“, sagt Hackerone-Hacker Manoel Abreu Netto, online besser bekannt als @manoelt.

Aber es gibt auch weitere Tipps, um die Gefährdung zu reduzieren:

  • Entwickler sollten die Anzeige von privaten Objektreferenzen wie Schlüsseln oder Dateinamen vermeiden
  • Die Validierung von Parametern sollte ordnungsgemäß implementiert werden
  • Die Verifizierung aller referenzierten Objekte sollte überprüft werden
  • Token sollten so generiert werden, dass sie nur dem Benutzer zugeordnet werden können und nicht öffentlich sind
  • Unternehmen sollten die Verwendung von UUIDs (Universally Unique IDentifier) anstelle von sequentiellen IDs unbedingt vermeiden, da UUIDs oft IDOR-Schwachstellen unentdeckt lassen

Weitere Details zu IDOR-Schwachstellen und was Unternehmen dagegen tun können, finden Sie im aktuellen Blogpost von Hackerone.

www.hackerone.com
 


Weitere Artikel

Virus

Einer von vier E-Mail-Kompromittierungsangriffen nutzt Lookalike-Domains

Die neuesten Daten zu BEC-Betrügereien zeigen, wie böswillige Akteure eine Mischung aus Gmail-Konten, einer Zunahme gestohlener Überweisungen und einer Verlagerung auf Lohnabzweigungen nutzen.
Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.