La referencia de objeto directo inseguro ( IDOR ) es un tipo de vulnerabilidad de control de acceso en la seguridad digital. [1]
Esto puede ocurrir cuando una aplicación web o una interfaz de programación de aplicaciones utiliza un identificador para el acceso directo a un objeto en una base de datos interna pero no verifica el control de acceso o la autenticación . Por ejemplo, si la URL de la solicitud enviada a un sitio web utiliza directamente un identificador único fácil de enumerar (como http://foo.com/doc/1234), eso puede proporcionar una vulnerabilidad para el acceso no deseado a todos los registros.
La vulnerabilidad es tan preocupante que durante muchos años se incluyó en la lista de las 10 principales vulnerabilidades del Open Web Application Security Project (OWASP). [3]
En noviembre de 2020, la empresa Silent Breach identificó una vulnerabilidad de IDOR en el sitio web del Departamento de Defensa de los Estados Unidos y la informó de forma privada a través del Programa de divulgación de vulnerabilidades del DOD. El error se solucionó agregando un mecanismo de sesión de usuario al sistema de cuentas, lo que requeriría primero autenticarse en el sitio. [4]
Se informó que el servicio de redes sociales Parler usó ID de publicaciones secuenciales y que esto había permitido extraer terabytes de datos del servicio en enero de 2021. El investigador responsable del proyecto dijo que esto era inexacto. [5] [6]