Referência Direta Insegura a Objetos (IDOR)
O que é Referência Direta Insegura a Objetos (IDOR)?
Referência Direta Insegura a Objetos (IDOR)Falha de controlo de acesso em que a aplicação expõe referências internas a objetos e permite ao utilizador alterá-las para aceder a dados que não lhe pertencem.
Um IDOR ocorre quando um endpoint usa um identificador fornecido pelo utilizador (ID numérico, UUID, nome de ficheiro, número de conta) para ler ou modificar um objeto sem verificar que o requisitante está autorizado para aquele objeto específico. IDs sequenciais e referências previsíveis facilitam a exploração, mas mesmo UUIDs são inseguros se forem adivinhados ou vazados. IDOR é um dos achados mais comuns em bug bounty e uma causa principal de violações multi-inquilino. Correções: verificar propriedade no servidor em cada pedido, restringir consultas ao utilizador/inquilino atual, usar referências indiretas (mapeamento opaco por sessão) e adicionar testes automatizados de acesso horizontal.
● Exemplos
- 01
Alterar /invoices/1042 para /invoices/1043 e ler a fatura de outro cliente.
- 02
Alterar um parâmetro de URL de foto de perfil para sobrescrever o avatar de outro utilizador.
● Perguntas frequentes
O que é Referência Direta Insegura a Objetos (IDOR)?
Falha de controlo de acesso em que a aplicação expõe referências internas a objetos e permite ao utilizador alterá-las para aceder a dados que não lhe pertencem. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Referência Direta Insegura a Objetos (IDOR)?
Falha de controlo de acesso em que a aplicação expõe referências internas a objetos e permite ao utilizador alterá-las para aceder a dados que não lhe pertencem.
Como se defender contra Referência Direta Insegura a Objetos (IDOR)?
As defesas contra Referência Direta Insegura a Objetos (IDOR) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Referência Direta Insegura a Objetos (IDOR)?
Nomes alternativos comuns: IDOR, Vulnerabilidade de referência direta a objeto.