4.不安全的對(duì)象直接引用

不安全的對(duì)象直接弓|用（Insecure Direct Object References，IDOR）指當(dāng)Web開(kāi)發(fā)人員未妥善保護(hù)內(nèi)部實(shí)現(xiàn)對(duì)象，而在暴露出某些內(nèi)部對(duì)象的引用時(shí)，如內(nèi)部某個(gè)文件、目錄或者數(shù)據(jù)庫(kù)口令，攻擊者可禽旨利用這個(gè)不安全的直接對(duì)象引用去訪問(wèn)未授權(quán)資源，尤其是在其他訪問(wèn)控制或保護(hù)措施不到位時(shí)，更可能導(dǎo)致讀取系統(tǒng)上任意文件或重要資料。

對(duì)于Web系統(tǒng)中，通常有的用戶(hù)只具有部分訪問(wèn)權(quán)限。但是在生成web頁(yè)面時(shí)，應(yīng)用程序經(jīng)常使用對(duì)象的實(shí)名或關(guān)鍵字，而不是對(duì)象的間接引用數(shù)字。此時(shí)攻擊者可以通過(guò)代碼分析和嘗試來(lái)直接訪問(wèn)這些對(duì)象，從而可能訪問(wèn)未授權(quán)資源。