Ataque 26 – Insecure Direct Object References

Postado em Atualizado em

response_headerDescrição:

Consiste no atacante manipular informações dentro do HTTP Header enviando valores não esperados pela solução. Típico caso da solução carregar uma combobox com valores de chaves ID de um banco de dados esperando o usuário selecionar uma opção, sendo que um atacante pode manipular a requisição HTTP enviado um identificar inexistente ou inconsistente.

Riscos: 

  • Transações com informações inconsistentes.
  • Furo nas regras de negócios.
  • Gerar erros de runtime.

Solução

A solução deve usar a abordagem de mapeamento gerenciado na sessão do usuário, aplicando sistematicamente validações de autorização e consistências nos valores vindouros da requisição HTTP.

Para todas as informações, veja o post inicial.

“Estou plenamente certo de que aquele que começou boa obra em vós há de completá-la até ao Dia de Cristo Jesus.” Filipenses 1:6

Anúncios