IDOR (Insecure Direct Object Reference) Nedir?
IDOR, bir uygulamanın kullanıcıdan gelen “nesne referansına” (ID, dosya adı vb.) aşırı güvenmesi ve bu referansın kime ait olduğunu sunucu tarafında doğrulamaması sonucu ortaya çıkan kritik bir yetki atlama zafiyetidir. Saldırganın sadece bir parametreyi değiştirerek milyonlarca kullanıcının faturasına, profiline veya özel mesajlarına erişmesine imkan tanıyan bu açık, 2026 dünyasında kitlesel veri ihlallerinin en büyük nedenidir. Savunmanın temel taşı, tahmin edilebilir ID’ler yerine UUID kullanmak ve her istekte Nesne Seviyesinde Yetki Kontrolü (BOLA) gerçekleştirmektir.
IDOR Nedir ve Nasıl Tespit Edilir?
IDOR (Insecure Direct Object Reference), web uygulamalarında kullanıcıların yetkilendirme kontrollerindeki eksikliklerden faydalanarak kendilerine ait olmayan verilere erişebilmesine neden olan kritik bir güvenlik zafiyetidir. Genellikle URL parametreleri veya veri tabanı kimlik numaraları (ID) üzerinden istismar edilen bu açık; kişisel verilerin sızdırılmasına, KVKK ihlallerine ve ciddi finansal kayıplara yol açabilir. IDOR açığına karşı korunmanın en etkili yolu, her veri talebinde sıkı bir yetkilendirme kontrolü uygulamak ve tahmin edilebilir ID değerleri yerine UUID gibi rastgele tanımlayıcılar kullanmaktır. Düzenli sızma testleri, bu tür “görünmez” ancak yıkıcı etkileri olan açıkları tespit etmek için siber savunmanın en önemli parçasıdır.
IDOR (Indirect Object Reference) Zafiyeti
Anasayfa Hakkımızda Referanslarımız Eğitimlerimiz Yayımlarımız Çözümlerimiz Bulut Çözümleri Bilgi Teknolojileri Sanallaştırma Hizmetleri Sızma Testleri Altyapı Kablolama Depolama ve Yedekleme Network Hizmetleri İletişim IDOR (Indirect Object Reference) Zafiyeti Nisa ORMAN Nisan 24, 2024 Siber Güvenlik Web uygulamaları günümüzde çeşitli amaçlar için kullanılmaktadır ve kullanıcıların kişisel bilgilerini, finansal bilgilerini ve diğer hassas verilerini barındırmaktadır. Bu nedenle, web […]