Ciberseguridad; La manipulación de la URL y referencias de objetos inseguros IDOR
Si los caracteres que componen una URL siguen un patrón, se convierte en un objetivo fácilmente atacable. Es una vulnerabilidad que recibe el nombre de Insecure Indirect Object Reference o IDOR, o la referencia indirecta de objetos insegura.
Hablamos de un ataque que implica un acceso inseguro, donde no se ha comprobado si el usuario que ha accedido a través de la URL tiene autorización por parte del sistema para realizar dicha consulta. Por tanto, la URL en este tipo de ataques no está segura, porque no cuenta con ese filtro intermedio de autentificación.
» Quizás te interese nuestro artículo: Conceptos básicos sobre la seguridad en navegadores web.
A través de ella, un ciberdelincuente puede obtener información privada o realizar acciones restringidas dentro de tu web. De hecho, pueden acceder a información almacenada en la base de datos y mapearla. Por tanto, una de las consecuencias más peligrosas de este tipo de ataques que manipulan la URL es que el atacante obtenga información a recursos a los que o debería tener acceso; Base de datos, directorios, ficheros, funciones, etc.
Por tanto, es conveniente configurar el servidor web correctamente para manejar errores y las URL no encontradas. Una buena gestión de listas blancas y negras de parámetros y filtros de consulta, además de un sistema de control de acceso para probar que tiene los suficientes privilegios de acceso, son acciones que nos ayudarán a prevenir esas manipulaciones de la URL y las referencias a objetos indirectas inseguras en nuestro sitio web.
Aloja en nuestra nube tus recursos empresariales.
En DANTIA disponemos de la nube que mejor se adapta a las necesidades de tu negocio, con todas las garantías de seguridad y protección.
Artículos relacionados
Webinar: Protege tu negocio de Ciberataques
Ransomware: Extorsión en el Mundo Digital
El ransomware, una amenaza creciente, encripta archivos y sistemas, exigiendo pagos en criptomonedas, y su impacto […]
Principios claves de seguridad de la Computación en la Nube
El objetivo de la seguridad por parte del proveedor de computación en la nube es garantizar la confidencialidad, la integridad […]