Saltar al contenido principal

IDOR (Insecure Direct Object Reference)

La app expone IDs de objetos en la URL o el body sin verificar que el usuario tiene derecho a verlos.

Categoría: Web · OWASP Top 10 🎯 Trinchera — La app expone IDs de objetos en la URL o el body sin verificar que el usuario tiene derecho a verlos. Cambias ?invoice=1042 por ?invoice=1043 y ves la factura del vecino. 🔗 Kill chain — Requisito: cuenta de usuario válida. Movimiento siguiente: enumeración masiva (scripteo), exfiltración de datos personales, modificación de objetos ajenos, escalada vertical (?role=admin). 📡 Huella defensiva — Volumen anómalo de peticiones a endpoints de lectura desde un mismo usuario. Acceso a IDs no enlazados en su historial de navegación. ⚠️ Falso amigo — Probar sólo con incrementos +1. Los IDs reales suelen ser UUIDs predecibles, hashes débiles o tokens en base64 descifrables. 🛡️ Remediación — Verificar siempre la propiedad en el backend. No basta con que el frontend oculte el botón.

Volver al glosario completo Última actualización: 2026-06-11