4.不安全的对象直接引用
不安全的对象直接弓|用(Insecure Direct Object References,IDOR)指当Web开发人员未妥善保护内部实现对象,而在暴露出某些内部对象的引用时,如内部某个文件、目录或者数据库口令,攻击者可禽旨利用这个不安全的直接对象引用去访问未授权资源,尤其是在其他访问控制或保护措施不到位时,更可能导致读取系统上任意文件或重要资料。
对于Web系统中,通常有的用户只具有部分访问权限。但是在生成web页面时,应用程序经常使用对象的实名或关键字,而不是对象的间接引用数字。此时攻击者可以通过代码分析和尝试来直接访问这些对象,从而可能访问未授权资源。