Das Problem: Angreifer manipulieren Direct Object References, um unautorisiert auf andere Objekte zugreifen zu können. Möglich ist dies, wenn URLs oder Formparameter Hinweise auf interne Objekte wie Dateien, Verzeichnisse, Datenbankeinträge oder Schlüssel enthalten. So wird auf Banken-Sites häufig die Kontonummer als primärer Datenbank-Index verwendet oder auch direkt im Web-Interface genutzt. "Hinweise auf Datenbankschlüssel liegen häufig offen", so der Report. Demnach kann ein Hacker durch intelligentes Raten oder einfaches Suchen weitere Schlüssel finden und so an fremde Daten gelangen.
Beispiel: Die Web-Seite einer australischen Steuerbehörde wurde im Jahr 2000 auf diese Weise von einem legitimen, aber feindlich gesinnten Nutzer gehackt. Er veränderte eine in der URL befindliche Steuer-ID und verschaffte sich so Zugriff auf detaillierte Informationen zu 17.000 Unternehmen. Peinlich: Der "Hacker" informierte die betroffenen Organisationen per E-Mail über die behördliche Sicherheitspanne.
Basis-Schutz: Um die Offenlegung von Direct Object References zu vermeiden, empfiehlt die Owasp, einen Index, eine indirekte Referenzierung oder eine andere indirekte, leicht zu validierende Methode zu verwenden. Sind direkte Referenzen dennoch erforderlich, müssen für deren Nutzung sichernde Autorisierungsmechanismen eingeführt werden.
