Teknik RehberWeb & API Security
IDOR Nedir ve Neden Hâlâ Bu Kadar Yaygın?
IDOR (Insecure Direct Object Reference - Güvensiz Doğrudan Nesne Referansı), bir uygulamanın kullanıcının kendi verisine mi yoksa başkasının verisine mi eriştiğini sunucu tarafında kontrol etmemesinden doğan bir yetkilendirme (authorization) zafiyetidir. Tespit edilmesi otomatik araçlarla oldukça zordur; istismarı ise son derece kolaydır. Bu yazıda zafiyetin nasıl çalıştığını, neden hâlâ bu kadar yaygın olduğunu ve nasıl test edilip önlendiğini inceliyoruz.
