Bup bip bop… iniciando secuencia 42…
¡Llegaron los robots! Han tomado el control y tradujeron esta página a tu idioma local. Sus corazoncitos de metal solo tienen las mejores intenciones. ¡Quieren ayudar! Dinos si están haciendo un buen trabajo con los botones al final de la página. Ve a la versión en inglés

Referencias de objeto directo inseguro

Referencias de objeto directo exponen el sitio Web o detalles de cuenta específicos, como números de cuenta, nombres de archivos, directorios o claves de base de datos, en la dirección URL o de otras fuentes accesibles. Muestre información confidencial en la dirección URL podría ser una vulnerabilidad de seguridad si el sitio Web no está configurado para comprobar el acceso para cada página específico de la cuenta o la acción.

Los atacantes pueden aprovechar las referencias de objeto directo mediante la modificación de las direcciones URL u otros parámetros a cuentas de acceso, directorios de salto, o descubrir otros recursos.

Por ejemplo: Sitio de la lista muestra los nombres de usuario en la dirección URL:
http://www.coolexample.com/accountInfo?Acct=BILL123

Un usuario malicioso cambia el nombre de la cuenta en la dirección URL en el intento de acceder a otra cuenta.

Si el sitio Web no está configurado para comprobar el acceso, el usuario malintencionado podría obtener acceso no autorizado a otra cuenta.

Mientras hace referencia a recursos específicos en la dirección URL no es necesariamente un problema, debe comprobar el acceso para cada solicitud de una página específica de la cuenta o la acción. Si tiene que utilizar referencias directas en la dirección URL, considere la asignación de las referencias a códigos por cuenta o por sesión aleatorias.

Para obtener más información acerca de las referencias de objeto directo inseguro y otras vulnerabilidades comunes, vea del Open Web Application Security Project Top 10 más crítica Web aplicación los riesgos de seguridad.


¿Este artículo fue útil?
Gracias por tus comentarios
¡Nos complace haber ayudado! ¿Hay algo más que podamos hacer por ti?
Lo sentimos. ¿Cómo podríamos ser de más utilidad?