CyberGlossary

Vulnerabilidades

Referência Direta Insegura a Objetos (IDOR)

Também conhecido como: IDOR, Vulnerabilidade de referência direta a objeto

Definição

Falha de controlo de acesso em que a aplicação expõe referências internas a objetos e permite ao utilizador alterá-las para aceder a dados que não lhe pertencem.

Um IDOR ocorre quando um endpoint usa um identificador fornecido pelo utilizador (ID numérico, UUID, nome de ficheiro, número de conta) para ler ou modificar um objeto sem verificar que o requisitante está autorizado para aquele objeto específico. IDs sequenciais e referências previsíveis facilitam a exploração, mas mesmo UUIDs são inseguros se forem adivinhados ou vazados. IDOR é um dos achados mais comuns em bug bounty e uma causa principal de violações multi-inquilino. Correções: verificar propriedade no servidor em cada pedido, restringir consultas ao utilizador/inquilino atual, usar referências indiretas (mapeamento opaco por sessão) e adicionar testes automatizados de acesso horizontal.

Exemplos

  • Alterar /invoices/1042 para /invoices/1043 e ler a fatura de outro cliente.
  • Alterar um parâmetro de URL de foto de perfil para sobrescrever o avatar de outro utilizador.

Termos relacionados