Lỗ hổng ở đây chính là: chương trình cho phép mình truy cập tài nguyên (đơn hàng của người
khác) bất hợp pháp, thông qua dữ liệu (ID) mà mình cung cấp qua URL. Lẽ ra, chương trình
phải check xem mình có quyền truy cập các dữ liệu này hay không.
Trong thực tế, hacker có thể dùng nhiều chiêu trò như: thay đổi URL, thay đổi param trong
API, sử dụng tool để scan những tài nguyên không được bảo mật. Chiêu hack lotte
cinema ngày xưa của mình cũng na ná như thế, thay id trong URL bằng username trong
cookie.
Cách đây khoảng 1-2 tháng, có 1 vụ lùm xùm liên quan tới công ty X (Hình như là CGV), lộ tài
khoản của 3 triệu người dùng. Chính lỗ hổng Insecure Direct Object References này đã giúp
hacker (ở đây là thánh bảo mật Juno_okyo) lợi dụng và dò ra thông tin của 3 triệu người dùng
đó.
(Bài viết gốc khá hay ở đây: https://junookyo.blogspot.com/2016/10/ro-ri- 3 - trieu-thong-tin-
ca-nhan.html).
Có một vài vụ việc hi hữu, hacker scan được git repository nằm trên server. Truy cập git, hắn
lấy được username, password của database và các thông tin quan trọng khác. Bạn đừng nghĩ
là mình... hư cấu. Cách đây vài hôm, git của vietnamwork vẫn nằm public chễm chệ tại
vietnamwork.com/.git/, không bảo mật gì! May mà gặp hacker “có tâm” đi ngang qua nên
chưa có gì đáng tiếc xảy ra.