Cover Image

Vulnérabilité IDOR : Explication, exploitation et prévention

✍️ Valentin Lobstein  | 

Introduction

Dans cet article, nous allons explorer la vulnérabilité d’Insecure Direct Object Reference (IDOR), une vulnérabilité de sécurité courante dans les applications Web qui peut avoir des impacts significatifs sur la confidentialité, l’intégrité et la disponibilité des données. Nous allons expliquer ce qu’est une vulnérabilité IDOR, comment elle peut être exploitée, et comment la prévenir. Nous fournirons également des exemples de code vulnérable et des méthodes pour exploiter l’IDOR en utilisant des outils populaires tels que Burp Suite, wfuzz et ffuf.

Qu’est-ce que l’IDOR ?

L’Insecure Direct Object Reference (IDOR) est une vulnérabilité de sécurité qui se produit lorsque l’application Web expose directement des références à des objets internes, tels que les fichiers, les enregistrements de base de données ou les clés primaires, sans vérifier correctement les autorisations de l’utilisateur. Un attaquant peut exploiter cette vulnérabilité pour accéder ou modifier des données auxquelles il n’est pas autorisé. Les vulnérabilités IDOR sont courantes dans les applications qui utilisent des clés primaires pour identifier les objets, et dans les applications qui utilisent des URL pour identifier les objets.

Exemple de code vulnérable

Voici un exemple simple de code vulnérable à une attaque IDOR. Dans cet exemple, une application Web permet à un utilisateur de visualiser son profil en accédant à l’URL http://example.com/profile?id=<ID><ID> est l’ID de l’utilisateur.

@app.route("/profile")
def get_profile():
    user_id = request.args.get("id")
    user = User.query.get(user_id)
    if user:
        return render_template("profile.html", user=user)
    else:
        return "Utilisateur introuvable", 404

Dans cet exemple, l’application récupère directement l’utilisateur à partir de l’ID fourni, sans vérifier si l’utilisateur connecté est autorisé à accéder à ce profil.

Exploitation de l’IDOR

L’exploitation de l’IDOR peut être réalisée de différentes manières, notamment en utilisant des outils tels que Burp Suite, wfuzz et ffuf. Ces outils permettent de tester des valeurs d’ID d’objet afin d’identifier des informations auxquelles l’utilisateur ne devrait pas avoir accès. Les attaquants peuvent également utiliser des techniques d’ingénierie sociale pour obtenir des informations sur les objets internes, telles que les noms de fichiers ou les identifiants de base de données.

Utilisation de Burp Suite

Burp Suite est un outil d’analyse de sécurité Web qui peut être utilisé pour exploiter des vulnérabilités IDOR. Pour exploiter l’IDOR avec Burp Suite, procédez comme suit :

  1. Configurez votre navigateur pour utiliser Burp Suite comme proxy.
  2. Naviguez sur le site Web cible et identifiez les requêtes contenant des références d’objet directes.
  3. Envoyez ces requêtes à l’outil Burp Intruder.
  4. Dans Burp Intruder, configurez les positions de charge utile pour les paramètres de référence d’objet.
  5. Utilisez une liste de charge utile contenant des ID d’objet que vous souhaitez tester, puis lancez l’attaque.
  6. Analysez les réponses pour identifier celles qui contiennent des informations auxquelles vous ne devriez pas avoir accès.

Utilisation de wfuzz

Wfuzz est un outil en ligne de commande pour effectuer des tests de sécurité Web, notamment pour exploiter des vulnérabilités IDOR. Pour exploiter l’IDOR avec wfuzz, procédez comme suit :

wfuzz -c -z range,1-100 -X GET "<http://example.com/profile?id=FUZZ>" --hc 404

Dans cet exemple, wfuzz teste des valeurs d’ID de 1 à 100 et affiche les réponses qui ne renvoient pas un code d’état HTTP 404.

Utilisation de ffuf

Ffuf (Fuzz Faster U Fool) est un outil en ligne de commande rapide et performant pour effectuer des tests de sécurité Web, y compris pour exploiter des vulnérabilités IDOR. Pour exploiter l’IDOR avec ffuf, procédez comme suit:

ffuf -u "<http://example.com/profile?id=FUZZ>" -c -w id_list.txt -fc 404

Dans cet exemple, ffuf utilise un fichier id_list.txt contenant une liste d’ID d’objet à tester et affiche les réponses qui ne renvoient pas un code d’état HTTP 404.

Impacts

L’exploitation réussie d’une vulnérabilité IDOR peut avoir plusieurs impacts, notamment:

  • Accès non autorisé à des informations sensibles : un attaquant peut accéder aux données d’autres utilisateurs, telles que les informations de profil, les historiques de transaction ou les documents privés.
  • Modification non autorisée des données : un attaquant peut modifier les données d’autres utilisateurs, telles que les paramètres de profil, les mots de passe ou les niveaux d’autorisation.
  • Suppression non autorisée des données : un attaquant peut supprimer les données d’autres utilisateurs, entraînant une perte de données et une interruption potentielle des services.

Prévention

Pour prévenir les vulnérabilités IDOR, il est important de mettre en place des contrôles d’accès appropriés et de vérifier systématiquement les autorisations de l’utilisateur. Voici quelques mesures que les développeurs peuvent prendre pour prévenir les vulnérabilités IDOR :

  • Utilisez des identifiants indirects pour les objets : plutôt que d’exposer directement les clés primaires ou les identifiants de base de données, utilisez des identifiants indirects qui sont mappés aux objets internes de manière sécurisée.
  • Mettez en place un contrôle d’accès basé sur les rôles : définissez des rôles et des autorisations clairs pour les utilisateurs et assurez-vous que les contrôles d’accès sont appliqués de manière cohérente dans toute l’application.
  • Vérifiez systématiquement les autorisations de l’utilisateur : pour chaque action impliquant un objet interne, vérifiez si l’utilisateur connecté est autorisé à accéder ou à modifier cet objet.
  • Utilisez des mécanismes de sécurité éprouvés : exploitez des cadres de développement et des bibliothèques qui fournissent des mécanismes de sécurité intégrés pour prévenir les vulnérabilités IDOR.

En résumé, l’IDOR est une vulnérabilité de sécurité courante dans les applications Web qui peut avoir des impacts significatifs sur la confidentialité, l’intégrité et la disponibilité des données. Les développeurs doivent être conscients de cette vulnérabilité et mettre en place des contrôles d’accès appropriés pour protéger les applications Web contre les attaques IDOR.