• Pengertian IDOR

    Sukirno Doank Februari 15, 2025

    IDOR (Insecure Direct Object Reference)


            IDOR (Insecure Direct Object Reference) adalah jenis kerentanan keamanan yang memungkinkan penyerang untuk mengakses atau memanipulasi objek atau data yang tidak seharusnya diakses oleh pengguna tersebut.

    IDOR adalah singkatan dari:
    • Insecure: Menyebutkan bahwa kerentanan ini disebabkan oleh kelemahan dalam desain atau implementasi aplikasi.
    • Direct: Menyebutkan bahwa penyerang dapat mengakses objek atau data secara langsung.
    • Object: Menyebutkan bahwa kerentanan ini terkait dengan objek atau data yang diakses.
    • Reference: Menyebutkan bahwa kerentanan ini terkait dengan referensi atau link ke objek atau data.

    IDOR dapat terjadi dalam berbagai bentuk, termasuk:
    • Mengakses data lain pengguna
    • Mengubah data lain pengguna
    • Menghapus data lain pengguna
    • Mengakses fitur atau fungsi yang tidak seharusnya diakses
    Contoh kode IDOR:

    // Kode yang rentan IDOR
    $user_id = $_GET['user_id'];
    $data = get_data($user_id);
    echo $data;

    // Kode yang aman
    $user_id = $_GET['user_id'];
    if (is_valid_user($user_id)) {
        $data = get_data($user_id);
        echo $data;
    } else {
        echo "Akses tidak diizinkan";
    }

    Dalam contoh di atas, kode yang rentan IDOR memungkinkan penyerang untuk mengakses data lain pengguna dengan mengubah ID pengguna di URL. Kode yang aman melakukan validasi terhadap ID pengguna sebelum mengakses data.

    IDOR dapat dicegah dengan melakukan:
    • Validasi input pengguna
    • Implementasi akses kontrol yang ketat
    • Penggunaan enkripsi
    • Implementasi audit dan pemantauan
    Sukirno Doank

    Diposting oleh Sukirno Doank