.png)
8 months ago
44 BOOK THIS SPACE FOR AD
ARTICLE AD
Pada tantangan kali ini, kita disuruh untuk menginvestigasi alert pada SIEM berupa serangan IDOR.
Insecure Direct Object Reference (IDOR) yang adalah jenis kerentanan kontrol akses yang muncul saat aplikasi menggunakan input yang disediakan pengguna untuk mengakses objek secara langsung. Sehingga pengguna dapat mengakses data pengguna lainnya dengan mengubah identifier seperti ID.
Pertama-tama, silahkan tekan tombol take ownership pada alert tersebut di tab “main channel”. Maka akan masuk ke tab “investigation channel”. Kemudian klik tombol “create case” (tombol panah >>). Setelah tombol “create case” ditekan, maka alert tersebut akan masuk ke tab “case management” lalu klik “Start playbook!” Untuk menyelesaikan alert ini.
Dari alert tersebut, kita mendapatkan data sebagai berikut:
- Source IP: 134.209.118.137 (IP attacker)
- Destination IP: 172.16.17.15 (IP web server kita)
- Requested URL: https://172.16.17.15/get_user_info/
Klik tombol “Start playbook!” Pada tab “Case management”, Kemudian jawablah pertanyaannya.
Is traffic malicious?
Lakukanlah pencarian source IP tersebut di virustotal.com, maka hasilnya seperti berikut:
Answer: malicious
What is the attack type?
Answer: IDOR
Check if It is a planned attack?
Answer: not planned
What is the direction of the traffic?
Traffic ini berasal dari internet ke web server kita.
Answer: internet -> company network
Was the attack successful?
Kita dapat mengecek log pada tab “Log management” kemudian lakukan pencarian dengan filter:
- Column: source_address
- Operator: equals
- Value: 134.209.118.137
Maka terdapat 5 request berikut:
Request 1:
- POST parameter: ?user_id=1
- status code: 200
- response size: 188
Request 2:
- POST parameter: ?user_id=2
- status code: 200
- response size: 253
Request 3:
- POST parameter: ?user_id=5
- status code: 200
- response size: 267
Request 4:
- POST parameter: ?user_id=4
- status code: 200
- response size: 158
Request 5:
- POST parameter:
?user_id=3
- status code: 200
- response size: 351
Kelima request tersebut bergonta-ganti nilai parameter user_id dengan status code 200 dan response size yang berubah-ubah, mengindikasikan bahwa serangan tersebut berhasil.
Answer: yes
Containment
Klik tab “Endpoint security” kemudian cari IP address web server kita 172.16.17.15). Klik tombol “containment”.
Do you need tier 2 escalation?
Karena serangannya berhasil, maka kita perlu melakukan eskalasi ke tier 2.
Answer: yes
Add artifacts
Setelah playbook selesai, maka akan diarahkan ke tab “Investigation channel” lagi. Kemudian klik tombol centang pada alert tersebut.
Kita berhasil menyelesaikan alert tersebut dengan benar.
Bengali (Bangladesh) · 
English (United States) ·