Skip to content
Blog – Level Two

Notícias e Conceitos sobre Segurança Digital

CUIDADO! IDOR é mais comum do que você pensa..

Posted on 05/07/202328/02/2023 By Level Two
Conceitos Técnicos

IDOR, ou Insecure Direct Object Reference, é uma vulnerabilidade comum em aplicações web que permite que um usuário mal-intencionado acesse recursos ou informações de outros usuários sem a devida autorização. Essa vulnerabilidade é considerada uma das mais perigosas em aplicações web, pois pode permitir o acesso não autorizado a informações confidenciais, como dados pessoais, informações financeiras ou de saúde.

O IDOR ocorre quando uma aplicação web não valida adequadamente a identidade ou permissões de um usuário ao acessar um objeto direto, como um arquivo, uma imagem, um registro de banco de dados, um cookie, dados de sessão ou qualquer outro tipo de recurso. Quando isso acontece, um invasor pode manipular os parâmetros da solicitação para acessar objetos que não deveria ter permissão para acessar.

Um exemplo comum de IDOR ocorre em aplicações de comércio eletrônico. Quando um usuário faz uma compra, a aplicação gera um número de pedido único para identificar a transação. Se a aplicação não valida adequadamente a identidade do usuário ao acessar esse número de pedido, um invasor pode facilmente manipular o número para acessar informações sobre outras transações, como endereços de entrega ou informações de pagamento.

Existem várias maneiras de explorar o IDOR, incluindo adivinhação de IDs, modificação de parâmetros e técnicas de força bruta. Os invasores também podem usar ferramentas automatizadas para encontrar IDs válidos e acessar recursos que não deveriam ser acessados.

Para evitar o IDOR, os desenvolvedores devem implementar controles de acesso adequados e validar as permissões do usuário antes de permitir o acesso a qualquer recurso. Isso pode incluir a autenticação do usuário, a validação de suas permissões de acesso e a utilização de tokens de sessão ou cookies seguros para garantir que apenas o usuário autenticado possa acessar informações confidenciais.

Além disso, os desenvolvedores devem usar práticas recomendadas de desenvolvimento de software, como codificação segura e validação de entrada de usuário para evitar vulnerabilidades de segurança. As ferramentas de análise de segurança de aplicativos também podem ser usadas para identificar vulnerabilidades de IDOR e outras vulnerabilidades em aplicações web.

Em resumo, o IDOR é uma vulnerabilidade séria que pode comprometer a segurança de aplicações web e permitir o acesso não autorizado a informações confidenciais. Para identificar se a sua aplicação possui este tipo de vulnerabilidade entre em contato conosco e vamos conversar sobre a segurança da sua empresa!

Tags:Afonso da Silva Análise de Sistemas Análise de Vulnerabilidades controle CyberSec CyberSecurity Desenvolvimento IDOR informações informações confidenciais informações pessoais Insecure Direct Object Reference Level Two Level Two Segurança Digital manipualação de objetos manipulação modificação objetos PenTest PenTesting Programação Segurança Cibernética Segurança Corporativa Segurança da Informação Segurança Digital Startup Tech Tecnologia

Navegação de Post

❮ Previous Post: LFI e RFI – Como funcionam essas falhas?
Next Post: SSRF – o SEU servidor sendo usado para ataques ❯

Veja mais sobre isso

O que é o Session Hijacking?
07/06/2023
OWASP TOP 10 – O que é?
26/04/2023
Open Redirect: Entenda a vulnerabilidade e como preveni-la
16/08/2023
Cross-site scripting (XSS), o que é?
08/03/2023

Copyright © 2025 Blog – Level Two.

Theme: Oceanly News Dark by ScriptsTown