Perbedaan IDOR dan Noredirect

Penjelasan dan Perbedaan Bug Insecure Direct Object References (IDOR) Vs Noredirect

Pernahkah kamu berfikir apa sih perbedaan idor sama noredirect? Kita semua tahu bahwa kedua bug tersebut memanglah berbeda,tapi kalau ditanya apa perbedaan nya?.Terkadang tidak semua orang bisa menjawabnya secara tepat,nah maka dari itu saya akan jelaskan kedua jenis bug tersebut,semoga kalian mudah memahaminya ya.

#Pengenalan

Insecure Direct Object References (IDOR) adalah suatu kerentanan (Vulnerability) karena tidak adanya pengecekan hak akses user terhadap suatu objek (data),sehingga memungkinkan si user/penyerang bisa melihat data user lain.

Contoh: pada suatu situs yang melibatkan suatu user di dalam nya dengan url akhiran

/user/Nomer user/data

Misal: akses user sebagai penyerang

/user/121/data

Nah kemudian si user penyerang memanfaatkan bug nya dengan mengubah nomor user jadi /user/120/data

Dengan ini si penyerang bisa melihat data pribadi user lain,mengubah password,alamat,dan lain-lain.

Noredirect adalah suatu kerentanan (Vulnerability) yang terjadi karena kesalahan pada session nya salah satu contoh adalah si web developper tidak menambahkan fitur logout pada dashboard admin mereka.

Si penyerang biasanya melakukan penyerangan dengan tool non fisik atau biasa dikenal tool online dengan memasukan link dashboard admin target ke sebuah tool.

Contoh : link-target/admin/dahboard.php

Jika situs target rentan maka sangat berbahaya dimana si penyerang bisa memasuki halaman dahsborad dengan mudah tanpa login terlebih dahulu.

Untuk solusi tersebut contoh kali ini si developper nya tidak memasang fitur logout.Nah bagaimana cara menambahkan fiturnya?,contoh:

#sebelum di patch

<?php

echo "Dashboard";

?>

 #setelah di patch

<?php

echo "Dashboard";

exit;

?>

#kesimpulan

Nah itulah pengenalan sekaligus penjelasan kedua bug tersebut,sekarang anda bisa membedakan kedua kerentanan tersebut kan?hehe semoga ilmunya bermanfaat.So? Kesimpulannya menurut saya pribadi kedua kerentanan (Vulnerability) tersebut kesalahannya sama-sama pada session atau hak akses yang tidak normal.

Itulah informasi yang telah saya rangkum dari beberapa sumber referensi,mohon maaf bila ada kesalahan,dan terimakasih telah berkunjung,byee