IDOR: Kerentanan Sederhana yang Menghasilkan Ratusan Ribu Dolar
Seorang bug bounty hunter terkenal, Jenish Sojitra (Jensec), membagikan pengalamannya menemukan 100 bug IDOR (Insecure Direct Object Reference) dengan total hadiah lebih dari $306,000 USD. Ia menekankan bahwa kerentanan ini sebenarnya sederhana, namun masih sering muncul bahkan pada aplikasi modern dengan puluhan insinyur keamanan.
Apa itu IDOR?
IDOR adalah kelemahan access control di mana aplikasi tidak melakukan validasi hak akses dengan benar. Akibatnya, penyerang bisa mengakses atau memanipulasi data milik orang lain hanya dengan mengubah parameter, misalnya:
https://example.com/profile?id=1001 → milik user A
https://example.com/profile?id=1002 → milik user B
Jika aplikasi tidak memverifikasi apakah pengguna berhak mengakses id=1002, maka terjadilah IDOR.
IDOR dan OWASP Top 10
- OWASP Top 10:2017
IDOR disebut secara eksplisit di A5: Broken Access Control. - OWASP Top 10:2021
Kategori ini naik menjadi A01: Broken Access Control, menduduki peringkat #1 sebagai kelemahan paling berbahaya di web.
→ Jadi, meskipun istilah “IDOR” tidak lagi ditulis terpisah, IDOR tetap termasuk dalam OWASP Top 10 (kategori Broken Access Control).
Mengapa Masih Banyak IDOR?
- Kompleksitas aplikasi modern dengan ribuan endpoint.
- Human error dalam validasi hak akses.
- Kesalahan logika bisnis yang tidak bisa dideteksi otomatis oleh scanner.
Pelajaran Penting
- Kerentanan sederhana bisa menghasilkan bug bounty besar jika berdampak pada data sensitif.
- Fokus pada fundamental (seperti access control) sering lebih efektif dibanding mengejar exploit teknis yang rumit.
- Bagi mahasiswa keamanan siber: pahami dasar-dasar access control karena inilah akar dari banyak serangan nyata.
Kesimpulan:
IDOR adalah salah satu bentuk Broken Access Control, dan Broken Access Control saat ini menduduki peringkat #1 di OWASP Top 10 (2021). Jadi, bug sederhana ini bukan hanya nyata, tetapi juga yang paling berbahaya di dunia web security.
