Web安全防护技术之不安全的对象直接引用

4.不安全的对象直接引用

不安全的对象直接弓|用（Insecure Direct Object References，IDOR）指当Web开发人员未妥善保护内部实现对象，而在暴露出某些内部对象的引用时，如内部某个文件、目录或者数据库口令，攻击者可禽旨利用这个不安全的直接对象引用去访问未授权资源，尤其是在其他访问控制或保护措施不到位时，更可能导致读取系统上任意文件或重要资料。

对于Web系统中，通常有的用户只具有部分访问权限。但是在生成web页面时，应用程序经常使用对象的实名或关键字，而不是对象的间接引用数字。此时攻击者可以通过代码分析和尝试来直接访问这些对象，从而可能访问未授权资源。