$500 Insecure Direct Object Reference (IDOR)

Hallo, pada kesempatan ini saya akan menuliskan temuan bug pada suatu situs perusahaan yang berbasis di kota Redmond negara bagian Washington, Amerika Serikat.

Sebenarnya saya tidak ingin menuliskan post ini karena pelaporannya sudah lama sekali yaitu 2021 dan di 2023 saya baru membuat write-up nya, tapi saya akan tetap menulisnya sebagai dokumentasi pribadi saja.

Karena saya belum meminta izin untuk mempublikasikan laporan saya ini, maka kita anggap saja nama situsnya adalah redacted.com. saya akan menjelaskan dengan singkat bagaimana saya bisa menemukan bug ini.

Langkah pertama, saya mencoba menggunakan tools Gau (Get All Urls) untuk mencari URLs pada domain redacted.com, dan saya menemukan sebuah url yang menarik saya untuk saya periksa.

Url itu terlihat sepertinya berfungsi untuk mendownload suatu file di pada server, dan saya mencoba memasukkan query ?f=/../../../../../../../etc/passwd

Hasilnya tidak menampilkan apapun. Dan saya mencoba menggunakan query ?f=/../../../../../../../etc/hosts

(Contoh isi file /etc/hosts)

Disini sudah dapat dipastikan redacted.com memiliki bug yang disebut sebagai Insecure Direct Object Reference (IDOR).

Singkatnya, IDOR adalah jenis celah keamanan pada sistem yang memungkinkan pengguna untuk mengakses objek yang seharusnya tidak dapat diakses, karena aplikasi mengungkapkan referensi langsung ke objek tanpa melakukan validasi akses yang cukup, sehingga dapat mengakibatkan pelanggaran privasi atau bahkan pencurian data sensitif yang tidak seharusnya dapat diakses oleh pengguna.

Baca lengkapnya disini