Identification et prévention des vulnérabilités IDOR

Les références directes d’objets non sécurisées (IDOR) sont une faille de sécurité qui se produit lorsqu'une application web permet à un utilisateur d’accéder directement à des objets internes à partir de l’entrée fournie par l’utilisateur. Cette vulnérabilité expose l’application à des risques d’accès non autorisé à des données sensibles.

Elle survient typiquement quand une application web utilise des références fournies par l’utilisateur, comme des identifiants dans l’URL ou des paramètres de formulaire, pour accéder directement à des objets tels que des fichiers, des enregistrements de base de données, ou d’autres données internes.

Si l’application ne vérifie pas correctement que l’utilisateur a les autorisations nécessaires pour accéder à l’objet visé, un attaquant peut exploiter cette faille pour accéder à des informations qu’il ne devrait pas pouvoir voir ou modifier.