4.不安全的對象直接引用

不安全的對象直接弓|用（Insecure Direct Object References，IDOR）指當(dāng)Web開發(fā)人員未妥善保護(hù)內(nèi)部實現(xiàn)對象，而在暴露出某些內(nèi)部對象的引用時，如內(nèi)部某個文件、目錄或者數(shù)據(jù)庫口令，攻擊者可禽旨利用這個不安全的直接對象引用去訪問未授權(quán)資源，尤其是在其他訪問控制或保護(hù)措施不到位時，更可能導(dǎo)致讀取系統(tǒng)上任意文件或重要資料。

對于Web系統(tǒng)中，通常有的用戶只具有部分訪問權(quán)限。但是在生成web頁面時，應(yīng)用程序經(jīng)常使用對象的實名或關(guān)鍵字，而不是對象的間接引用數(shù)字。此時攻擊者可以通過代碼分析和嘗試來直接訪問這些對象，從而可能訪問未授權(quán)資源。