Insecure Direct Object Reference
Bei der Entwicklung von Web-Anwendungen werden oft Objektreferenzen verwendet, um auf ein bestimmtes internes Implementierungsobjekt zu verweisen. Dabei kann es sich um Dateien, Verzeichnisse, Datenbankeinträge oder digitale Schlüssel handeln. Bei einer Insecure-Direct-Object-Reference-Lücke ist die Objektreferenz auf diese Objekte manipulierbar. Ein Angreifer kann durch geschicktes Manipulieren unautorisiert auf Dateien und Inhalte zugreifen. Vor allem wenn Applikationen mit sensiblen Daten arbeiten, sind diese Attacken gefährlich. Konkret verwenden Angreifer meist manipulierte IDs oder Pfadangaben, um etwa fremde Datensätze aus der Datenbank auszulesen oder unautorisiert auf Dateien des Web-Servers zuzugreifen.