IDOR (Insecure Direct Object Reference) adalah salah satu jenis kerentanan keamanan dalam aplikasi web di mana pengguna yang tidak sah dapat mengakses objek atau sumber daya langsung melalui referensi tanpa melalui mekanisme otorisasi yang tepat. Kerentanan ini biasanya terjadi ketika aplikasi web menggunakan parameter yang dapat diprediksi atau diubah dalam URL atau permintaan lainnya, memungkinkan pengguna untuk memanipulasi nilai tersebut dan mengakses data atau fungsi yang seharusnya tidak mereka miliki.
Disini saya akan melakukan contoh pentest IDOR(Insecure Direct Object References)pada aplikasi web. Saya menggunakan govwa sebagai aplikasi web testing.
kalian bisa menggunakan govwa sebegai testing, klik disini.
adapun tools yang harus di persiapkan :
- burpsuite
- browser
jika kalian menggunkan extension proxy kalian bisa atur hostname: 127.0.0.1 (localhost) dan port : 8080(port burpsuite).
- untuk login username : admin dan password : govwaadmin.
- disana terlihat banyak sekali pilihat exploit pilih menu IDOR dan IDOR1
- buka aplikasi burpsuite yang sudah disiapkan
- klik open browser, login ke halaman govwa.
- disini saya akan mengubah uid, name, dan city
terlihat disana name dan city sudah diisi saya akan mengubahnya menggunakan burpsuite, ketika request url modifikasi dan update.
- kembali ke halaman burpsuite klik intercept on, intercept disini fungsinya untuk memberhentikan request yang masuk ketika tombol update di klik.
- request pada halaman url sudah masuk, pada dasarnya IDOR itu sendiri kerentanan pada web yang dimana pengguna dapat merubah atau memanipulasi data pada database. disini saya mengubah parameter uid menjadi 1, nama menjadi Bagas, dan city menjadi Jakarta, jangan lupa uid cookie juga diubah.
- setelah diubah kita klik tombol foward pada burpsuite, lalu liat perubahan datanya.
- untuk melihat perubahan data kita bisa exploit menggunakan burpsuite atau cara manual dengan memodifikasi url(xss).
- masuk ke halaman sqli, pilih sqli 2.
disini kita berhasil mengubah data dan parameter juga.
