Anzeige

Hacker

Hackerone warnt in seinem jüngst veröffentlichten Blogbeitrag vor der wachsenden Bedrohung vieler Unternehmen des Einzelhandels und des E-Commerce durch sogenannte Insecure Direct Object References (oder IDOR).

Dabei handelt es sich um einen einfachen Fehler, der jedoch immer wieder zu finden ist und großes Bedrohungspotenzial aufweist. Wird diese Lücke ausgenutzt, können Angreifer Zugang zu sensiblen Daten oder Passwörtern erhalten und diese Informationen manipulieren. Auf Hackerone werden jeden Monat über 200 dieser Schwachstellen gefunden und sicher an Kunden gemeldet.

Bei Einzelhandels- und E-Commerce-Unternehmen machen allein die IDOR-Schwachstellen gewärtig bereits 15 Prozent der von Unternehmen an White-Hat-Hacker gezahlten Prämien aus. Aber auch in anderen Bereichen ist das Potenzial für Angreifer groß: IDOR-Schwachstellen stellen die größte Sicherheitslücke für Programme in den Branchen Behörden (18 %), Medizintechnik (36 %) und professionelle Dienstleistungen (31 %) dar.

Problematisch ist dabei insbesondere, dass IDORs nicht allein mit Hilfe von Tools erkannt werden können, sondern Kreativität und manuelle Sicherheitstests zur Identifizierung erfordern. Bei herkömmlichen Pentests können diese Schwachstellen folglich unentdeckt bleiben, es sei denn, ein Pentester prüft jeden möglichen Parameter in jedem Anfrageendpunkt.

Unternehmen sollten daher Gegenmaßnahmen ergreifen, um ihr Risiko zu minimieren. „IDORs zu vermeiden ist nur möglich, indem Unternehmen einen zuverlässigen Zugriffskontrollmechanismus aufbauen. Sie müssen hierzu die jeweils für ihr Szenario am besten geeignete Methode wählen, alle Zugriffe protokollieren und, wenn möglich, ein Audit mit einer Überprüfung der Post-Autorisierung durchführen“, sagt Hackerone-Hacker Manoel Abreu Netto, online besser bekannt als @manoelt.

Aber es gibt auch weitere Tipps, um die Gefährdung zu reduzieren:

  • Entwickler sollten die Anzeige von privaten Objektreferenzen wie Schlüsseln oder Dateinamen vermeiden
  • Die Validierung von Parametern sollte ordnungsgemäß implementiert werden
  • Die Verifizierung aller referenzierten Objekte sollte überprüft werden
  • Token sollten so generiert werden, dass sie nur dem Benutzer zugeordnet werden können und nicht öffentlich sind
  • Unternehmen sollten die Verwendung von UUIDs (Universally Unique IDentifier) anstelle von sequentiellen IDs unbedingt vermeiden, da UUIDs oft IDOR-Schwachstellen unentdeckt lassen

Weitere Details zu IDOR-Schwachstellen und was Unternehmen dagegen tun können, finden Sie im aktuellen Blogpost von Hackerone.

www.hackerone.com
 


Weitere Artikel

Supply Chain

Größter deutscher Versicherer warnt vor Hackerattacken auf globale Lieferketten

Der zur Allianz gehörende Industrieversicherer AGCS warnt vor steigender Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten wie unter anderem heise und die ZEIT berichteten.
Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.
Herzmonitor

Ransomware-Angriffe auf Krankenhäuser - Sind Leben in Gefahr?

Krankenhäuser in den USA wurden zuletzt verstärkt von Ransomware-Gruppen angegriffen. Statistische Berechnungen zeigen nun, dass dabei durchaus Gefahr für Leib und Leben besteht.
Bitcoin Smartphone

iPhone-Krypto-Betrug eskaliert nun auch in Europa

Neue Erkenntnisse von Sophos deuten darauf hin, dass der internationale Cyber-Betrug mit Kryptowährung eskaliert. Cyberkriminelle nutzen beliebte Dating-Apps wie Tinder und Bumble, um iPhones von arglosen Nutzern:innen für ihre betrügerischen Machenschaften…
Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.