Ավստրալիայի և ԱՄՆ-ի կիբերանվտանգության գործակալությունները համատեղ զեկույց են հրապարակել, որը նախազգուշացում է web application-երի անվտանգության խոցելիությունների մասին, որոնք կարող են ակտիվորեն օգտագործվել հաքերների կողմից` համակարգերի գաղտնի տվյալները գողանալու համար:
Սա bug-երի հատուկ class է պարունակում, որը Insecure Direct Object Reference (IDOR) է կոչվում: Այն access control-ի խոցելիության մի տեսակ է, որը տեղի է ունենում, երբ հավելվածն օգտագործում է user-supplied մուտքագրումը կամ identifier-ը:
IDOR-ի խոցելիության տիպիկ օրինակ է օգտատիրոջ կողմից URL-ի փոփոխման հնարավորությունը (օրինակ՝ https://example[.]site/details.php?id=12345)՝ չթույլատրված տվյալներ ձեռք բերելու համար (https://example[.]site/details.php?id=67890):
Նմանատիպ հարձակումները մեղմելու համար դիզայներներին և ծրագրավորողներին խորհուրդ է տրվում ընդունել secure-by-design and -default սկզբունքները և ստուգել, որ համակարգը կատարի authentication և authorization ստուգումները:
Բացահայտման քեյսերը հրապարակվեցին այն այն ժամանակ, երբ CISA-ն հրապարակեց ռիսկերի և խոցելիության գնահատումներից (RVAs) հավաքագրված տվյալների իր վերլուծությունը:
Հետազոտությունը ցույց տվեց, որ «Valid Accounts technique-ն ամենասովորական հարձակման տեխնիկաներ են, որոնք պատասխանատու են հաջող փորձերի 54%-ի համար», որոնց հաջորդում են ֆիշինգային հղումները (33,8%), ֆիշինգ հավելվածները (3,3%), external remote ծառայությունները (2,9%) և drive-by compromis-ները (1,9%):
«Valid Accounts technique-ից պաշտպանվելու համար կարևոր ենթակառուցվածքային սուբյեկտները պետք է կիրառեն գաղտնաբառերի ուժեղացման քաղաքականություն, ինչպիսին է՝ phishing-resistant [multi-factor authentication], ինչպես նաև վերահսկեն մուտքի գրանցամատյաններն ու ցանցային հաղորդակցության մատյանները», -նշում է CISA-ն:
Աղբյուրը՝ https://thehackernews.com/
