Inicio > GUÍA DE BUENAS PRÁCTICAS > CODIFICACIÓN > VULNERABILIDADES > A4-Referencia directa insegura a objetos

DEFINICIÓN

Esta vulnerabilidad se da cuando los accesos a recursos no cuentan con el debido control y cualquier usuario puede manipular la información. Un desarrollador expone una referencia un objeto de implementación interno (fichero, base de datos o directorio) sin la debida protección.

IDENTIFICACIÓN DE LA VULNERABILIDAD

Identifica la vulnerabilidad si: se verifica que todas las referencias a objetos tienen las protecciones apropiadas, entre ellas verificar que el usuario tiene el permiso para acceder a un recurso específico, esto para referencias directas a recursos restringidos. En el caso de una referencia indirecta, se debe limitar los valores autorizados a un usuario.

Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente. Ocurre cuando un desarrollador expone al exterior una referencia a un objeto de implementación interno, tal como un fichero, directorio, o base de datos.

PREVENCIÓN

Utilizando referencias indirectas por usuario o sesión, ESAPI de OWASP incluye relaciones secuenciales y aleatorias de referencias de acceso con el fin de que se eliminen las referencias directas a objetos. Otra manera de prevenirlo es comprobando el acceso mediante comprobación de control de acceso.

PAGINAS DE APOYO

Se puede encontrar en la página: https://docplayer.es/1851183-Seguridad-en-aplicaciones-web.html

Utilizar referencias indirectas por usuario o sesión, Evitando que los atacantes accedan a los recusos no autorizados. OWASP ofrece un proyecto de seguridad empresarial (ESAPI), una colección gratuita de todos lo métodos de seguridad para la contrucción de una aplicación web.

Comprobar el acceso a cada una de las referencias directas a un objeto para asegurar que el usuario està autorizado a acceder al objeto solicitado.

_______________________________

Tomado del proyecto original de "GUÍA DE BUENAS PRÁCTICAS PARA EL DESARROLLO DE APLICACIONES WEB SEGURAS, ORIENTADAS A LA FORMACIÓN DE PROGRAMADORES" Liliana Cújar Bahamón. Autora de este sitio web.

Los diez riesgos más críticos en aplicaciones web (2013)

Proyecto OWASP API de seguridad empresarial (ESAPI)

REFERENCIAS DE APOYO

· Una página que entrega información acerca de esta vulnerabilidad, las debilidades, la seguridad aplicada, escenarios de ataques con ejemplos.
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References
· ESAPI DE OWASP, colección gratuita y abierta de los métodos de seguridad que un desarrollador debe saber para construir una aplicación web segura. Es una página en construcción, por ello, ofrece respuestas en el foro:
https://www.owasp.org/index.php/ESAPI_Specification

· Algunas referencias de páginas externas (CWE Common Wwakness Enumeration), que ofrecen un ejemplo de ataque de referencia a un objeto directo. Disponible en:
https://cwe.mitre.org/data/definitions/22.html