Referencia de objeto directo inseguro

Tipo de vulnerabilidad de control de acceso en seguridad digital

La referencia de objeto directo inseguro ( IDOR ) es un tipo de vulnerabilidad de control de acceso en la seguridad digital. ^[1]

Esto puede ocurrir cuando una aplicación web o una interfaz de programación de aplicaciones utiliza un identificador para el acceso directo a un objeto en una base de datos interna pero no verifica el control de acceso o la autenticación . Por ejemplo, si la URL de solicitud enviada a un sitio web utiliza directamente un identificador único fácil de enumerar (como http://foo.com/doc/1234), eso puede proporcionar una vulnerabilidad para el acceso no deseado a todos los registros.

Un ataque de cruce de directorio se considera un caso especial de IDOR. ^[2]

La vulnerabilidad es tan preocupante que durante muchos años estuvo incluida entre las 10 principales vulnerabilidades del Open Web Application Security Project (OWASP). ^[3]

Ejemplos

En noviembre de 2020, la empresa Silent Breach identificó una vulnerabilidad IDOR en el sitio web del Departamento de Defensa de los Estados Unidos y la informó de forma privada a través del Programa de divulgación de vulnerabilidades del DOD. El error se solucionó agregando un mecanismo de sesión de usuario al sistema de cuentas, lo que requeriría autenticarse primero en el sitio. ^[4]

Se informó que el servicio de red social Parler utilizó ID de publicaciones secuenciales y que esto permitió extraer terabytes de datos del servicio en enero de 2021. El investigador responsable del proyecto dijo que esto era inexacto. ^{[5] [6]}

Referencias

1. "Referencias inseguras a objetos directos (IDOR) | Web Security Academy". portswigger.net . Consultado el 12 de enero de 2021 .
2. Karandé, Chetan. "Seguridad de aplicaciones de nodo - 4. Referencias directas a objetos inseguros". www.oreilly.com . Consultado el 12 de enero de 2021 .
3. Salomón, Howard (12 de enero de 2021). "Un error de desarrollo común probablemente provocó un enorme robo de datos de Parler, dice el experto | IT World Canada News". www.itworldcanada.com . Consultado el 12 de enero de 2021 .^{[ enlace muerto permanente ]}
4. Cimpanu, Catalín. "Bug Hunter gana el premio 'Investigador del mes' por un error de adquisición de cuentas del DOD". ZDNet . Consultado el 12 de enero de 2021 .
5. Greenberg, Andy (12 de enero de 2021). "Un error absurdamente básico permite que cualquiera obtenga todos los datos de Parler". Cableado . Archivado desde el original el 12 de enero de 2021 . Consultado el 12 de enero de 2021 .
6. @donk_enby (30 de enero de 2021). "Además, gran parte de la cobertura de noticias afirmaba que los ID de las publicaciones eran secuenciales. No lo eran, pero: https://github.com/d0nk/parler-tricks/blob/main/parler/conversion.py#L22 (este punto final solo existía en su aplicación para iOS y, afaik, en realidad no se usaba para nada)" ( Tweet ). Archivado desde el original el 30 de enero de 2021 . Consultado el 12 de febrero de 2021 – vía Twitter .