Insecure Direct Object Reference (IDOR) Attack
La “vulnérabilité par référence directe à un objet insecure” (IDOR) est une faille de sécurité courante qui peut être exploitée par des pirates informatiques. Pour comprendre ce que cela signifie, il faut savoir que dans de nombreuses applications Web, les utilisateurs se voient attribuer une identité unique, telle qu’un numéro d’identification (ID), qui leur permet d’accéder à certaines fonctions ou ressources.
Cependant, si ces ID sont facilement prévisibles ou manipulables, cela peut permettre à un hacker mal intentionné d’accéder à des ressources qui ne lui sont pas autorisées. Par exemple, si un site Web stocke les informations des utilisateurs dans une base de données et leur attribue des identifiants numériques consécutifs, un hacker pourrait simplement essayer des numéros différents jusqu’à ce qu’il trouve celui d’un autre utilisateur pour accéder à ses données.
Il est donc important pour les développeurs de s’assurer que les ID des utilisateurs ne sont pas faciles à deviner et que chaque utilisateur n’a accès qu’à la ressource qui lui est autorisée, pour éviter les attaques IDOR. En somme, l’IDOR est une vulnérabilité qui peut être évitée avec une bonne conception et un codage sécurisé.