Insecure Direct Object References (IDOR)

Descripción

Insecure Direct Object References (IDOR) se produce cuando una aplicación proporciona acceso directo a objetos en función de la entrada proporcionada por el usuario. Como resultado de esta vulnerabilidad, los atacantes pueden eludir la autorización y acceder a los recursos directamente modificando el valor de un parámetro utilizado para apuntar directamente a un objeto. Dichos recursos pueden ser información perteneciente a otros usuarios, archivos y más. Esto se debe al hecho de que la aplicación toma la entrada proporcionada por el usuario y la utiliza para recuperar un objeto sin realizar suficientes comprobaciones de autorización.

Clasificación

Tipo

Valor

OWASP Top 10 2017

A5:2017 - Broken Access Control

OWASP Top 10 2021

A1:2021 - Broken Access Control

Common Weakness Enumeration (CWE)

639, 285 y 284

Impacto

Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Puntuación: 4.3
Calificación: Medio

El impacto puede cambiar según el contexto de la vulnerabilidad.

Recomendaciones

Implementar mecanismos de autorización a la información y utilizarlos durante todas las funciones de la aplicación.
Los métodos de autorización deben garantizar que el usuario autenticado que accede a un determinado recurso tiene autorización para ese recurso.
Utilizar referencias fuertes y únicas, como Universally Unique Identifier (UUID).

Referencias

AnteriorFull path disclosure SiguienteUnrestricted file upload

Última actualización hace 1 año

¿Te fue útil?