Insecure Direct Object Reference (IDOR) Attack
Insecure Direct Object Reference (IDOR) Attack, Türkçe’ye çevrildiğinde “Güvensiz Doğrudan Nesne Referansı Saldırısı” anlamına gelir.
Bu saldırı, bir web uygulamasına yapılan ve verilere erişmek için kullanılan özel bir yöntemdir. Bu tür bir saldırıda, bir kullanıcı, başka bir kullanıcının verilerine erişmek için uygun izin ve yetkilere sahip olmadığı halde doğrudan nesne referansını kullanır.
Örneğin, uygulama üzerindeki bir kullanıcı profili sayfasıyla ilgileniyorsunuz. Profil sayfası URL’si şöyle görünebilir: “www.example.com/profile?id=1234”. Bu durumda, “1234” ifadesi kullanıcının ID’sidir. Ancak, eğer bir saldırgan farkında olmadan, bir diğer kullanıcının profil sayfasına ait olan ID numarasını (örneğin 5678), doğru URL’ye girerse, sistem bu ID’yi kabul ederek, yanlış kişinin bilgilerini gösterir.
Bu tür bir saldırı, veri güvenliği için büyük bir risk oluşturur çünkü saldırganlar, başka kullanıcılara ait özel bilgilere erişir ve bu bilgilere kötü amaçlı amaçlar için kullanabilirler.
Bu nedenle, uygulama geliştiricilerinin, böyle saldırılara karşı korunmak için önlem alması çok önemlidir. Bunun için, her kullanıcının verilerine erişmek için özel izinler ve yetkiler sağlamalıdırlar.