Insecure Direct Object References

¿Qué es la vulnerabilidad de Insecure Direct Object References y por qué es peligrosa para los sitios web y sus clientes?

La ciberseguridad de las aplicaciones web se ha convertido en una de las mayores prioridades para el área de la seguridad informática. Millones de compañías, actualmente, necesitan tener sitios web para ofrecer sus servicios y, de hecho, muchos de estos se basan completamente en el uso de estos softwares.

En consecuencia, las auditorías de aplicaciones web se han convertido en algunos de los servicios más demandados de la ciberseguridad. Estas auditorías consisten en poner a prueba la seguridad de una aplicación por medio del uso de técnicas de hacking, que son iguales o similares a las que utiliza un atacante real.

Las auditorías de ciberseguridad también se conocen como tests de penetración o intrusión. Para ejecutar estos tests es necesario conocer cuáles son las principales vulnerabilidades presentes en aplicaciones web y cómo explotarlas. Por eso, en este post, hablaremos sobre un fallo de seguridad que es muy común hallar en entornos web.

A continuación, te explicaremos una vulnerabilidad conocida como Insecure Direct Object References (IDOR) y por qué representa un riesgo para la aplicación y sus clientes. Este fallo de seguridad, que se relaciona con los protocolos de autorización de los usuarios, puede usarse para robar o modificar información relevante para los propietarios del sitio web y sus clientes.

Insecure Direct Object References

La vulnerabilidad conocida como Insecure Direct Object References es un fallo de seguridad que le permite a los usuarios, desde el lado del cliente, acceder a sitios de una aplicación web para los cuales no deberían estar autorizados. Existen dos métodos, principalmente, para acceder a diferentes partes de un sitio web de este modo, que son:

1. Accediendo directamente a una URL.
2. Cambiando el valor de un parámetro, que haga referencia a un objeto, en la dirección URL del sitio.

El método más común es el segundo, que, en otras palabras, consiste en hacerle modificaciones a una URL para acceder a otros sitios de la aplicación. Un ejemplo que se utiliza frecuentemente para describir este fallo de seguridad es el caso real de una compañía telefónica, cuyo sitio web le permitía a los usuarios acceder a todas las facturas de sus clientes por culpa de una vulnerabilidad de Insecure Direct Object Refereneces.

Clientes de esta compañía, con conocimientos de ciberseguridad, encontraron este error haciendo pruebas con las direcciones URL de las facturas. Estas direcciones contenían referencias directas a objetos dentro de la aplicación, correspondientes a las facturas, que se enumeraban en orden sucesivo.

Al notar esto, los atacantes comenzaron a probar modificaciones en las referencias directas a objetos y encontraron que era posible acceder a las facturas de otros clientes con tan solo modificar el número de referencia del objeto en la dirección URL del sitio. Así pues, un atacante podía acceder a datos confidenciales de los clientes, como, por ejemplo:

• Nombre completo.
• Dirección.
• Valor de la factura y números de referencia.

La vulnerabilidad de Insecure Direct Object References o IDOR es un fallo relacionado con la autorización de los clientes, ya que estos no deberían poder acceder a las facturas de los demás. Para evitar este fallo, es necesario limitar al máximo los permisos de acceso que tengan los usuarios de la aplicación. Cuantos menos permisos tengan los usuarios en sus cuentas, es más posible mitigar el daño de una suplantación de identidad. Además, imposibilita ataques basados en IDOR.

¿Cómo aprender más?

Ahora sabes en qué consiste la vulnerabilidad IDOR o Insecure Direct Object References. Si quieres aprender más sobre fallos de seguridad en aplicaciones web y cómo explotarlos de manera ética, en KeepCoding tenemos la formación ideal para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un experto en tan solo 7 meses. ¡No sigas esperando y pide información para empezar a cambiar tu vida!