IDOR (Insecure Direct Object Reference) Nedir?

IDOR, yani "Güvensiz Doğrudan Nesne Referansı", kimlik doğrulama veya yetkilendirme kontrolü yapılmadan, kullanıcıların sistemdeki başka nesnelere (verilere) doğrudan erişebilmesine neden olan bir güvenlik açığıdır.

Nasıl Ortaya Çıkar?

Kullanıcıya ait içerikler genellikle URL parametresiyle çağrılır. Ancak sistem bu içeriğe erişen kişinin gerçekten o veriye erişmeye yetkili olup olmadığını kontrol etmezse, kötü niyetli kişiler parametrelerle oynayarak başkalarının verilerine erişebilir.

// Örnek URL:
GET /user/profile?id=123

// Kötü niyetli kullanıcı aşağıdaki gibi ID'yi değiştirerek başka kullanıcıların bilgilerine ulaşabilir:
GET /user/profile?id=124
    

Riskleri Nelerdir?

• Kişisel verilerin ifşası (KVKK / GDPR ihlali)
• Yetkisiz veri görüntüleme veya değiştirme
• Kimlik sahtekarlığı ve kullanıcı hesaplarının ele geçirilmesi
• Kurumsal itibar kaybı ve hukuki yaptırımlar

Gerçek Hayattan Örnek

2012 yılında Facebook’ta bir kullanıcı, başka bir kullanıcının fotoğraflarını ID değiştirerek görebilmişti. Benzer şekilde birçok sistemde URL veya form verileri üzerinde oynanarak IDOR zaafiyeti ortaya çıkarılabilir.

Korunma Yöntemleri

• Yetkilendirme Kontrolü: Sunucu tarafında, kullanıcıların sadece kendi verilerine erişip erişemeyeceği mutlaka kontrol edilmelidir.
• Dolaylı Referanslar: Doğrudan ID kullanmak yerine rastgele oluşturulmuş token veya slug’lar kullanılabilir.
• Access Control List (ACL): Hangi kullanıcı hangi veriye erişebilir açıkça tanımlanmalı ve kontrol edilmelidir.
• Denetim ve Loglama: Şüpheli veri erişimleri kayıt altına alınmalı ve incelenmelidir.

Test Etme Yöntemleri

• ID parametreleriyle oynama (fuzzing, increment/decrement)
• Başka kullanıcı hesabıyla erişim testleri
• Burp Suite, OWASP ZAP gibi araçlarla parametre manipülasyonu
• OWASP API Security Test: BOLA (Broken Object Level Authorization) testi