🟣
Vulnerabilities
  • Inicio
  • Web
    • Full path disclosure
    • Insecure Direct Object References (IDOR)
    • Unrestricted file upload
Con tecnología de GitBook
En esta página
  • Descripción
  • Clasificación
  • Impacto
  • Recomendaciones
  • Referencias

¿Te fue útil?

  1. Web

Insecure Direct Object References (IDOR)

AnteriorFull path disclosureSiguienteUnrestricted file upload

Última actualización hace 1 año

¿Te fue útil?

Descripción

Insecure Direct Object References (IDOR) se produce cuando una aplicación proporciona acceso directo a objetos en función de la entrada proporcionada por el usuario. Como resultado de esta vulnerabilidad, los atacantes pueden eludir la autorización y acceder a los recursos directamente modificando el valor de un parámetro utilizado para apuntar directamente a un objeto. Dichos recursos pueden ser información perteneciente a otros usuarios, archivos y más. Esto se debe al hecho de que la aplicación toma la entrada proporcionada por el usuario y la utiliza para recuperar un objeto sin realizar suficientes comprobaciones de autorización.

Clasificación

Tipo
Valor

OWASP Top 10 2017

A5:2017 - Broken Access Control

OWASP Top 10 2021

A1:2021 - Broken Access Control

Common Weakness Enumeration (CWE)

Impacto

  • Vector:

  • Puntuación: 4.3

  • Calificación: Medio

El impacto puede cambiar según el contexto de la vulnerabilidad.

Recomendaciones

  • Implementar mecanismos de autorización a la información y utilizarlos durante todas las funciones de la aplicación.

  • Los métodos de autorización deben garantizar que el usuario autenticado que accede a un determinado recurso tiene autorización para ese recurso.

  • Utilizar referencias fuertes y únicas, como Universally Unique Identifier (UUID).

Referencias

, y

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OWASP Web Security Testing Guide (WSTG)
OWASP Cheat Sheet Series
PortSwigger
639
285
284