Giriş

Dijital dünyada kullanıcı verilerinin gizliliği, sadece sisteme kimin girdiğini (Authentication) bilmekle değil, girdikten sonra hangi verilere dokunabildiğini (Authorization) sıkı bir şekilde denetlemekle mümkündür. Web uygulamalarındaki en sinsi ve yıkıcı güvenlik zafiyetlerinden biri olan IDOR (Insecure Direct Object Reference), yani Güvensiz Doğrudan Nesne Referansı, bu denetim mekanizmasındaki temel bir mantık hatasından kaynaklanır.

2026 yılı itibarıyla OWASP Top 10 listesinde “Erişim Kontrolü Hataları” (Broken Access Control) kategorisinin zirvesinde yer alan bu açık, bir kullanıcının sadece bir parametreyi değiştirerek başkalarına ait özel verilere ulaşabilmesine imkan tanır.

Konunun Temel Açıklaması

IDOR, bir uygulamanın veritabanındaki bir nesneye (fatura, profil, mesaj, dosya vb.) erişmek için doğrudan bir anahtar (ID) kullandığı ve bu erişim talebi sırasında “bu kullanıcı bu veriyi görmeye gerçekten yetkili mi?” kontrolünü yapmadığı durumlarda ortaya çıkar.

Saldırgan, kendisine sunulan URL, POST gövdesi veya API isteği içerisindeki sayısal veya metinsel bir değeri manipüle ederek, normal şartlarda erişim yetkisi olmayan verilere ulaşabilir. Kurumsal perspektifte IDOR, tüm müşteri tabanındaki verilerin otomatik araçlar yardımıyla hızla çekilebilmesi (Insecure Crawling) anlamına gelir.

Çalışma Mantığı ve Teknik Arka Plan

IDOR’un temelinde yatan teknik kusur, sunucu tarafındaki kodun kullanıcıdan gelen girdi verisine körü körüne güvenmesidir.

Örnek Senaryo: Kullanıcı kendi ayarlarını görüntülemek istediğinde uygulama şu isteği oluşturur: GET /api/v1/user/settings?user_id=1024

Eğer uygulama güvensizse, kullanıcı 1024 değerini 1025 olarak değiştirdiğinde sunucu, “1025 ID’li kullanıcıyı getir” sorgusunu veritabanına gönderir. Sunucu, isteği yapan oturumun (session) gerçekten 1025 ID’li kullanıcıya ait olup olmadığını doğrulamadığı için, başka bir kullanıcının özel bilgileri ekrana yansıtılır. Bu durum, **”Nesne Seviyesinde Yetki Kontrolü”**nün (Object-Level Authorization) devre dışı kaldığını kanıtlar.

IDOR Saldırı Senaryoları ve Somut Örnekler

• Hassas Veri İfşası: Bir e-ticaret sitesinde order_id=5500 parametresini değiştirerek başkalarının alışveriş geçmişine ve adreslerine erişmek.

• Hesap Ele Geçirme: Profil güncelleme formunda account_id=987 değerini değiştirerek başka bir kullanıcının e-posta adresini kendi adresinizle güncellemek ve şifre sıfırlama talebi göndermek.

• Veri Silme ve Tahribat: Bir bulut servisinde file_id=12345 isteğindeki ID’yi değiştirerek başkalarına ait dosyaları silm.