Insecure Direct Object Reference (IDOR) Attack
“Insecure Direct Object Reference (IDOR) Attack” handlar om en cybersäkerhetsattack mot en databas där en attacker försöker få tillgång till information som de egentligen inte är behöriga att se. Detta inträffar vanligtvis genom att en attacker manipulerar en oförändrad URL-adress för att visa informationen från en annan användares konto.
Som ett exempel kan vi tänka oss att en användare har en specifik adress för att visa sin egen profilinformation. Om denna adress är “www.exempel.com/profil/123”, kan en angripare ändra sista siffran i adressen för att se en annan användares profil, till exempel “www.exempel.com/profil/456”. På det sättet kan angriparen få tillgång till information som de inte har behörighet att se.
För att skydda sig mot en IDOR-attack måste utvecklare använda sig av identifierare som är anonymiserade och inte använda identifikatorer för att spåra informationen från databasen. Således bör en identifierad användare endast ha tillgång till sin egen information och ingen annan användares information.