IDOR или небезопасные прямые ссылки на объект | КАК ОБНАРУЖИТЬ и предотвратить | все что НУЖНО ЗНАТЬ

Что такое IDOR и почему они представляют угрозу? Как такие уязвимости можно обнаружить при тестировании приложений? Как атакующие эксплуатируют IDOR?
И как защитить ваши веб-приложения и предотвратить подобные проблемы?
Привет! Меня зовут Mekan aka MrCyberSec и сегодня я подробно расскажу об одной из наиболее распространенных и в то же время опасных уязвимостей веб-приложений - небезопасных прямых ссылках на объект или IDOR.
Если вы работаете с веб-приложениями, вам обязательно нужно знать об этих уязвимостях, поскольку они могут привести к серьезным проблемам безопасности и нарушению конфиденциальности данных пользователей. Погнали!
ТАЙМКОДЫ:
0:00 уязвимости веб-приложений IDOR
0:54 ключевые термины
1:53 как возникает IDOR
2:24 почему уязвимости IDOR опасны
3:32 как обнаружить IDOR
4:57 эксплуатация IDOR
6:55 как предотвратить IDOR
------------------------------------------------------------------------------------------------------
Мои статьи и врайтапы: maddevs.io/blog/authors/mekan...
Заказать услуги: maddevs.io/cybersecurity/
Telegram: t.me/MrCyberSec_channel
Boosty.to: boosty.to/mrcybersec
X/Twitter: / _mrcybersec
HackTheBox: app.hackthebox.com/profile/70...
LinkedIn: / mekan-bairyev

Пікірлер: 11

  • @MrNewDevice
    @MrNewDevice6 ай бұрын

    продолжай. качество супер. только в реках попался у меня

  • @wouchref2501
    @wouchref250129 күн бұрын

    Во-первых, хочу выразить благодарность автору за качественные видео и замечательную подачу материала) Во-вторых, хочу предложить рубрику о часто встречающихся уязвимостях или что обязан знать каждый безопасник(возможно, рассмотреть инструментарий), думаю людям будет интересно

  • @alexeydobrushskiy6316
    @alexeydobrushskiy63163 ай бұрын

    Отлично! Про как предотвратить - сказано вскользь, но вообще - использовать UUID вместо целочисленных ID в качестве Primary key в базе данных - избавит от IDOR-уязвимости by design. Даже если с контролем доступа к разным объектам облажаться - эксплуатировать IDOR в таком случае будет сильно сложнее.

  • @MrCyberSec

    @MrCyberSec

    3 ай бұрын

    Спасибо за расширение, вы абсолютно правы:) Единственный момент когда UUID не спасают, это когда его можно получить в ответе где-то в другом месте.

  • @wh0syx
    @wh0syx5 ай бұрын

    Бесценный контент для русскоязычного ютуба, продолжай.

  • @odjilock4644
    @odjilock46443 ай бұрын

    Спасибо за контент, подписался, очень интересно! Интересно было бы послушать видео про твой путь и про первый баг, про сложности на пути и тупики.

  • @nikitaalekseev1365
    @nikitaalekseev13655 ай бұрын

    Подписался. Слежу за каналом, спасибо за качество и наполнение!

  • @st7dot
    @st7dot6 ай бұрын

    Отличный контент, отличное видео, всё доступно и очень интересно, надеюсь, что вам не надоест и вы будете продолжать делиться своими знаниями.

  • @jdueioksltoirtius9685
    @jdueioksltoirtius96855 ай бұрын

    Не нужно читать с экрана за камерой - это заметно!

Келесі