Insecure Direct Object Reference (IDOR)
Insecure Direct Object Reference (IDOR) è un problema di sicurezza nei siti Web e nelle applicazioni che trattano dati sensibili. Il problema si verifica quando l’applicazione non verifica adeguatamente la legittimità dell’utente che cerca di accedere ai dati, consentendo a quell’utente di accedere o modificare dati che non dovrebbero essere accessibili.
Immagina di avere un armadio con varie scatole, ognuna delle quali contiene oggetti diversi. Le scatole rappresentano i dati nel sistema, mentre gli oggetti rappresentano le informazioni contenute in ogni singolo dato. L’accesso alle scatole dovrebbe essere limitato solo a persone autorizzate, altrimenti i contenuti delle scatole potrebbero essere rubati o modificati.
Ma se l’applicazione non verifica se l’utente che cerca di accedere a una determinata scatola sia autorizzato a farlo, qualsiasi utente potrebbe aprire qualsiasi scatola e prendere gli oggetti all’interno, anche se non dovrebbe avere accesso a quelle informazioni.
Questo è il problema di Insecure Direct Object Reference. È importante che le applicazioni verifichino in modo adeguato l’accesso degli utenti ai dati e alle informazioni, per proteggere le informazioni sensibili e garantire la sicurezza del sistema.