Insecure Direct Object Reference (IDOR) Attack
La “Insecure Direct Object Reference (IDOR) Attack” es un tipo de ataque informático que ocurre cuando un atacante explota una vulnerabilidad en una aplicación web para obtener acceso no autorizado a información o recursos que deberían estar protegidos.
Este tipo de ataque sucede cuando las referencias a objetos, como bases de datos o archivos, se manejan de manera insegura. En lugar de utilizar un identificador único para cada objeto y verificar los permisos de acceso antes de permitir la manipulación del mismo, la aplicación simplemente utiliza un número o nombre de objeto que puede ser fácilmente adivinado o manipulado por un atacante.
Un ejemplo de esto sería un sitio web de banca en línea donde los números de cuenta bancaria son utilizados como identificadores directos para los detalles de la cuenta. Si un atacante encuentra una manera de manipular su propio número de cuenta, podría obtener acceso a información de otras cuentas o incluso realizar transferencias no autorizadas.
Por lo tanto, es importante que los desarrolladores utilicen prácticas seguras de gestión de objetos y verificación de permisos para evitar este tipo de ataque.