Basic Web Hacking Series – Indirect Object Reference / IDOR (Theory)

আমি জানি Indirect Object Reference নামটা দেখে অনেকের মনে হচ্ছে এই Vulnerability টা হয়তো বেশ জটিল কিছু। কিন্তু আসলে তা নয়, বরং এটি খুবই সিম্পল একটি বিষয়। আবার এটাকে সিম্পল বলে এড়িয়ে যাবারও সুযোগ নেই, কারণ এর প্রভাব বেশ ভয়ানক হতে পারে, ক্ষেত্রবিশেষে এর প্রভাব আপনার Psychology, way of thinking এবং lifestyle কেও change করে দিতে পারে।

ভাবছেন কি আবোল তাবোল বকছি? একটি Web vulnerability কিভাবে আপনার জীবনকে পরিবর্তন করে দিতে পারে? ধৈর্য ধরুন, বলছি…

কখনো Data Broker এর নাম শুনেছেন?

অনেকেই হয়ত শুনেছেন, কারণ প্রায় সময়ই Facebook এর মত বড় বড় প্রতিষ্ঠানের বিরুদ্ধে Data Broker-দের কাছে তাদের User Data বিক্রি করার অভিযোগ উঠে থাকে। হয়তো news media তে এসব খবর দেখে একজন সাধারণ ব্যাবহারকারী হিসেবে আপনি মনে মনে ভাবেন, আরে ওরা আমার Data বিক্রি করলে করুক, কি ই বা বিক্রি করবে, আর করেই বা কি লাভ আমি তো কোনো Celebrity না? সর্বোচ্চ আমার নাম, ঠিকানা বা ফোন নাম্বার বিক্রি করবে। আমার ঘর-বাড়ি বা ঘোড়া-গাড়ি তো আর বিক্রি করে দিচ্ছে না।

আমি বলবো, “জনাব, একটু দাঁড়ান, এই পোস্টটা পড়ুন তারপর আবার বিবেচনা করুন যে কেনো Data Broker-দের কাছে আপনার Data বিক্রি হওয়াটা কোনো মামুলি বিষয় নয়…”

তবে এখন মূল আলোচনায় আসা যাক।

ধরুন, আমরা সবাই মিলে Amazon এর মতো একটি E-commerce site তৈরি করলাম www.resurrectedodyssey.org

যেহেতু E-commerce site সেক্ষেত্রে আপনার একটি User Account এতে প্রয়োজন হবে এটি থেকে কেনাকাটা করতে এবং আপনি আপনার User Account এ login করলে আপনি আপনার Profile Page এ আপনার ঠিকানা, ফোন নাম্বার, আপনার পূর্ববর্তী সকল Purchase Record, আপনার Pending Orders ও ইত্যাদি অনেক তথ্য দেখতে পারেন। প্রতিটা Website এ প্রতিটা User এর একটি করে User ID থাকে যা প্রত্যেক User এর জন্য Unique হয়ে থাকে।

ধরে নিচ্ছি আমাদের এই E-commerce site এ আপনার User ID 1337 এবং লগইন করা অবস্থায় আপনি আপনার প্রোফাইল দেখতে চাইলে আপনাকে এই রকম একটি URL এ নিয়ে যাওয়া হয়:

www.resurrectedodyssey.org/user/1337

আবার ধরি, আমার User ID 4321 এবং সেই প্লাটফর্মে লগইন করা অবস্থায় আমি www.resurrectedodyssey.org/user/4321 URL এ আমার profile দেখতে পারি যাতে রয়েছে আমার ঠিকানা, ফোন নাম্বার, আমার পূর্ববর্তী সকল Purchase Record, আমার Pending Orders ও ইত্যাদি অনেক তথ্য।

এখন আমি আমার প্রোফাইলে Logged In থাকাবস্থায় যদি আমার User ID-র বদলে আপনার User ID টি বসিয়ে Browser এ Search করি আর তা যদি আপনার প্রোফাইলের সকল তথ্য আমাকে দেখায় তবে সেটাই হচ্ছে IDOR Vulnerability

উদাহরণটা খুব সাদামাটা লাগছে, তাহলে E-commerce site এর Account এর বদলে আপনার Bank Account Profile এর কথা চিন্তা করুন, যেখানে আপনার NID Number, Passport Number, Bank Account Details, Credit Card Details ও আরো নানা গুরুত্বপূর্ণ তথ্য থাকতে পারে। এখন আমি আমার Bank Account এ Login করে IDOR ব্যাবহার করে আপনার Account এর তথ্য হাতিয়ে নেই এবং আপনার Data Black Market এ বিক্রি করে দেই তবে বিষয়টা কেমন হবে একবার ভেবে দেখুন।

এখন আবার ফিরে আসি Data Broker-দের আলোচনায়।

আপনাদের অনেকের সাথে নিশ্চয়ই কখনো না কখনো এমন হয়েছে যে, আপনার মোবাইলে এমন এমন কোম্পানির প্রমোশনাল মেসেজ এসেছে যাদের কোনো সেবা আপনি কখনো ব্যাবহার করেননি বা আপনার মোবাইল নাম্বার কোনোভাবেই তাদের কাছে যাওয়া সম্ভব না। এই রকম ঘটনাগুলো ঘটে Data Broker-দের কারনেই।

Data Broker-রা সাধারণত আপনার আমার data কিনে সেগুলো বিভিন্ন Advertising Agency-র কাছে বিক্রি করে এবং পরবর্তীতে সেসব Advertising Agency সেসব Data Analysis করে Targeted Campaign বা Marketing করে। Social Media-র এসব Targeted Marketing বা Campaign মানুষের চিন্তা-চেতনায় ও Lifestyle কতটা কার্যকরী প্রভাব ফেলে তা নিয়ে বিভিন্ন Article, Video Content ও Research Paper আছে অহরহ। তাই আমি সেই আলোচনায় আর না-ই বা গেলাম।

আশা করি এতক্ষনে আপনারা বুঝে গেছেন কেনো আমি IDOR-কে Life Style Change করার মতো Vulnerability বলেছি।

(নিচে IDOR ব্যাবহার করে বাংলাদেশী একটি প্রতিযোগিতার প্রায় ছয় হাজার প্রতিযোগীদের Information আমি Dump করেছিলাম সেটির একটি Screenshot দেখানো হলো এবং Vulnerability-র বিষয়টি আয়োজকদের অবহিত করা হয়েছে)

Author: marufmurtuza