IDOR или небезопасные прямые ссылки на объект | КАК ОБНАРУЖИТЬ и предотвратить | все что НУЖНО ЗНАТЬ

Поділитися
Вставка
  • Опубліковано 8 чер 2024
  • Что такое IDOR и почему они представляют угрозу? Как такие уязвимости можно обнаружить при тестировании приложений? Как атакующие эксплуатируют IDOR?
    И как защитить ваши веб-приложения и предотвратить подобные проблемы?
    Привет! Меня зовут Mekan aka MrCyberSec и сегодня я подробно расскажу об одной из наиболее распространенных и в то же время опасных уязвимостей веб-приложений - небезопасных прямых ссылках на объект или IDOR.
    Если вы работаете с веб-приложениями, вам обязательно нужно знать об этих уязвимостях, поскольку они могут привести к серьезным проблемам безопасности и нарушению конфиденциальности данных пользователей. Погнали!
    ТАЙМКОДЫ:
    0:00 уязвимости веб-приложений IDOR
    0:54 ключевые термины
    1:53 как возникает IDOR
    2:24 почему уязвимости IDOR опасны
    3:32 как обнаружить IDOR
    4:57 эксплуатация IDOR
    6:55 как предотвратить IDOR
    ------------------------------------------------------------------------------------------------------
    Мои статьи и врайтапы: maddevs.io/blog/authors/mekan...
    Заказать услуги: maddevs.io/cybersecurity/
    Telegram: t.me/MrCyberSec_channel
    Boosty.to: boosty.to/mrcybersec
    X/Twitter: / _mrcybersec
    HackTheBox: app.hackthebox.com/profile/70...
    LinkedIn: / mekan-bairyev

КОМЕНТАРІ • 11

  • @MrNewDevice
    @MrNewDevice 6 місяців тому +11

    продолжай. качество супер. только в реках попался у меня

  • @wouchref2501
    @wouchref2501 29 днів тому

    Во-первых, хочу выразить благодарность автору за качественные видео и замечательную подачу материала) Во-вторых, хочу предложить рубрику о часто встречающихся уязвимостях или что обязан знать каждый безопасник(возможно, рассмотреть инструментарий), думаю людям будет интересно

  • @alexeydobrushskiy6316
    @alexeydobrushskiy6316 3 місяці тому +3

    Отлично! Про как предотвратить - сказано вскользь, но вообще - использовать UUID вместо целочисленных ID в качестве Primary key в базе данных - избавит от IDOR-уязвимости by design. Даже если с контролем доступа к разным объектам облажаться - эксплуатировать IDOR в таком случае будет сильно сложнее.

    • @MrCyberSec
      @MrCyberSec  3 місяці тому +1

      Спасибо за расширение, вы абсолютно правы:) Единственный момент когда UUID не спасают, это когда его можно получить в ответе где-то в другом месте.

  • @wh0syx
    @wh0syx 5 місяців тому +1

    Бесценный контент для русскоязычного ютуба, продолжай.

  • @odjilock4644
    @odjilock4644 3 місяці тому +1

    Спасибо за контент, подписался, очень интересно!
    Интересно было бы послушать видео про твой путь и про первый баг, про сложности на пути и тупики.

  • @nikitaalekseev1365
    @nikitaalekseev1365 5 місяців тому +2

    Подписался. Слежу за каналом, спасибо за качество и наполнение!

  • @st7dot
    @st7dot 6 місяців тому

    Отличный контент, отличное видео, всё доступно и очень интересно, надеюсь, что вам не надоест и вы будете продолжать делиться своими знаниями.

  • @jdueioksltoirtius9685
    @jdueioksltoirtius9685 5 місяців тому

    Не нужно читать с экрана за камерой - это заметно!

Наступне
Автоматичне відтворення
Взламываем #web машинку DEVVORTEX.HTB, простого уровня | #HackTheBox | КАК ПРОЙТИ #DEVVORTEX.HTB14:57Взламываем #web машинку DEVVORTEX.HTB, простого уровня | #HackTheBox | КАК ПРОЙТИ #DEVVORTEX.HTB
Взламываем #web машинку DEVVORTEX.HTB, простого уровня | #HackTheBox | КАК ПРОЙТИ #DEVVORTEX.HTBMekan Bairyev - MrCyberSec
Переглядів 7 тис.
КАК ИЗБЕЖАТЬ ВЗЛОМА И УТЕРИ ДАННЫХ? | 5 простых способов улучшить вашу КИБЕРБЕЗОПАСНОСТЬ7:03КАК ИЗБЕЖАТЬ ВЗЛОМА И УТЕРИ ДАННЫХ? | 5 простых способов улучшить вашу КИБЕРБЕЗОПАСНОСТЬ
КАК ИЗБЕЖАТЬ ВЗЛОМА И УТЕРИ ДАННЫХ? | 5 простых способов улучшить вашу КИБЕРБЕЗОПАСНОСТЬMekan Bairyev - MrCyberSec
Переглядів 7 тис.
РАДИО МАЯК И НЕИЗВЕСТНЫЙ БЛОК15:07РАДИО МАЯК И НЕИЗВЕСТНЫЙ БЛОК
РАДИО МАЯК И НЕИЗВЕСТНЫЙ БЛОКалександер
Переглядів 542
Китайка и Пчелка 10 серия😂😆00:19Китайка и Пчелка 10 серия😂😆
Китайка и Пчелка 10 серия😂😆KITAYKA
Переглядів 432 тис.
Гордон и Фейгин гуляют по Киеву. Сговор Москвы и Вашингтона, бл…дство Европы, ядерка для Украины1:16:20Гордон и Фейгин гуляют по Киеву. Сговор Москвы и Вашингтона, бл…дство Европы, ядерка для Украины
Гордон и Фейгин гуляют по Киеву. Сговор Москвы и Вашингтона, бл…дство Европы, ядерка для УкраиныВ гостях у Гордона
Переглядів 1,5 млн
Make me the happiest man on earth... 🎁🥹00:34Make me the happiest man on earth... 🎁🥹
Make me the happiest man on earth... 🎁🥹A4
Переглядів 8 млн
Игроки придумали как заряжать электромашины в ETS2 #игры #eurotrucksimulator2 #ets200:55Игроки придумали как заряжать электромашины в ETS2 #игры #eurotrucksimulator2 #ets2
Игроки придумали как заряжать электромашины в ETS2 #игры #eurotrucksimulator2 #ets2БУЛДЖАТь
Переглядів 1,2 млн
Что такое IP - адрес и можно ли по нему кого-то вычислить?5:01Что такое IP - адрес и можно ли по нему кого-то вычислить?
Что такое IP - адрес и можно ли по нему кого-то вычислить?Merion Academy
Переглядів 925 тис.
уязвимости аутентификации | ЧЕМ ОПАСНЫ и ЧТО ВАЖНО ЗНАТЬ? | безопасность web приложений11:09уязвимости аутентификации | ЧЕМ ОПАСНЫ и ЧТО ВАЖНО ЗНАТЬ? | безопасность web приложений
уязвимости аутентификации | ЧЕМ ОПАСНЫ и ЧТО ВАЖНО ЗНАТЬ? | безопасность web приложенийMekan Bairyev - MrCyberSec
Переглядів 6 тис.
Почему число 37 встречается повсюду? [Veritasium]22:32Почему число 37 встречается повсюду? [Veritasium]
Почему число 37 встречается повсюду? [Veritasium]Vert Dider
Переглядів 382 тис.
OPNSense: Protect Your Home LAN With a Transparent Filtering Bridge with Step by Step Instructions15:13OPNSense: Protect Your Home LAN With a Transparent Filtering Bridge with Step by Step Instructions
OPNSense: Protect Your Home LAN With a Transparent Filtering Bridge with Step by Step InstructionsDave's Garage
Переглядів 485 тис.
Как предотвратить IDOR?0:24Как предотвратить IDOR?
Как предотвратить IDOR?Mekan Bairyev - MrCyberSec
Переглядів 610
АССЕМБЛЕР В 2023. Первый и последний урок.10:57АССЕМБЛЕР В 2023. Первый и последний урок.
АССЕМБЛЕР В 2023. Первый и последний урок.Winderton
Переглядів 349 тис.
Внутреннее устройство планировщика Go1:01:57Внутреннее устройство планировщика Go
Внутреннее устройство планировщика GoВладимир Балун
Переглядів 10 тис.
Как работает reverse shell? #shorts1:00Как работает reverse shell? #shorts
Как работает reverse shell? #shortsMekan Bairyev - MrCyberSec
Переглядів 9 тис.
#JasonDeruloTV // Street Art #GotPermissionToPost From @greg_goya #SlowLow00:34#JasonDeruloTV // Street Art #GotPermissionToPost From @greg_goya #SlowLow
#JasonDeruloTV // Street Art #GotPermissionToPost From @greg_goya #SlowLowJason Derulo
Переглядів 31 млн
ПОЛНАЯ ИСТОРИЯ ЭКЗОРЦИЗМА [Топ Сикрет]2:40:32ПОЛНАЯ ИСТОРИЯ ЭКЗОРЦИЗМА [Топ Сикрет]
ПОЛНАЯ ИСТОРИЯ ЭКЗОРЦИЗМА [Топ Сикрет]Utopia Show
Переглядів 4,6 млн
💔Бабуся з онуком віддають честь військовослужбовиці ЗСУ00:20💔Бабуся з онуком віддають честь військовослужбовиці ЗСУ
💔Бабуся з онуком віддають честь військовослужбовиці ЗСУ5 канал
Переглядів 965 тис.
Картина яєшня00:27Картина яєшня
Картина яєшняAfinka
Переглядів 82 тис.
Закон тайги | 1 сезон | 6 серия | Эксцесс исполнителя42:54Закон тайги | 1 сезон | 6 серия | Эксцесс исполнителя
Закон тайги | 1 сезон | 6 серия | Эксцесс исполнителяЛучшие детективы
Переглядів 475 тис.
ГОРОД ТОЛЬКО ИЗ ОДНОЙ ДОРОГИ - ПОЛНОЕ ВИДЕО ПО ССЫЛКЕ ЧУТЬ ВЫШЕ! #embro #CitiesSkylines2 #shorts01:00ГОРОД ТОЛЬКО ИЗ ОДНОЙ ДОРОГИ - ПОЛНОЕ ВИДЕО ПО ССЫЛКЕ ЧУТЬ ВЫШЕ! #embro #CitiesSkylines2 #shorts
ГОРОД ТОЛЬКО ИЗ ОДНОЙ ДОРОГИ - ПОЛНОЕ ВИДЕО ПО ССЫЛКЕ ЧУТЬ ВЫШЕ! #embro #CitiesSkylines2 #shortsEmbro - Paradox Games
Переглядів 3 млн
Харламов не сдержал смех 😂 #ComedyClub #КамедиКлаб #галыгин #Харламов #тнт4#тайнасфинкса #конецсвета00:56Харламов не сдержал смех 😂 #ComedyClub #КамедиКлаб #галыгин #Харламов #тнт4#тайнасфинкса #конецсвета
Харламов не сдержал смех 😂 #ComedyClub #КамедиКлаб #галыгин #Харламов #тнт4#тайнасфинкса #конецсветаТНТ4 Shorts
Переглядів 2,3 млн
😱РОСІЯНИ СТРАШЕННО НАЛЯКАНІ РАКЕТАМИ Tomahawk зі США #shorts #росіяни #tomahawk00:56😱РОСІЯНИ СТРАШЕННО НАЛЯКАНІ РАКЕТАМИ Tomahawk зі США #shorts #росіяни #tomahawk
😱РОСІЯНИ СТРАШЕННО НАЛЯКАНІ РАКЕТАМИ Tomahawk зі США #shorts #росіяни #tomahawkАпостроф TV
Переглядів 1,2 млн