IDOR Explorer

Insecure Direct Object Reference (IDOR) é uma das vulnerabilidades de aplicações web mais prevalentes e impactantes. Uma vulnerabilidade IDOR ocorre quando uma aplicação expõe objetos de implementação interna - como IDs de banco de dados, nomes de arquivos ou identificadores de usuário - através de URLs, campos de formulário ou parâmetros de API, e não verifica se o usuário solicitante está autorizado a acessar o recurso referenciado. Isso permite que atacantes acessem dados de outros usuários simplesmente modificando um valor de parâmetro.

Entendendo a vulnerabilidade IDOR

Considere um sistema de gerenciamento de documentos onde os arquivos são acessados através de uma URL como /files?id=123. Se a aplicação serve o arquivo baseando-se apenas no parâmetro ID sem verificar se o usuário atual possui ou tem permissão para visualizar aquele documento, um atacante pode incrementar o ID para acessar arquivos pertencentes a outros usuários. Esta falha fundamental de autorização - confiar em referências fornecidas pelo usuário sem verificações de acesso no lado do servidor - é o núcleo de toda vulnerabilidade IDOR.

Onde as vulnerabilidades IDOR aparecem

Falhas IDOR são encontradas em praticamente todos os tipos de aplicações web. Locais comuns incluem páginas de perfil de usuário (alterar IDs de usuário para ver outros perfis), sistemas de pedidos e faturas (acessar pedidos de outros clientes), gerenciamento de documentos e arquivos (baixar arquivos não autorizados), endpoints de API (recuperar dados de outros usuários via chamadas REST ou GraphQL) e funções administrativas (acessar recursos de configuração ou gerenciamento adivinhando IDs). O OWASP Top 10 classifica consistentemente o controle de acesso quebrado - a categoria que engloba IDOR - como um dos riscos de segurança mais críticos de aplicações web.

Técnicas de exploração

Atacantes exploram vulnerabilidades IDOR através da manipulação sistemática de parâmetros. Isso inclui enumeração sequencial (incrementar IDs numéricos), análise de padrões (prever formatos UUID ou hash), navegação forçada (acessar diretamente URLs de recursos) e fuzzing de API (testar endpoints com diferentes valores de referência). Ferramentas de proxy modernas como o Burp Suite permitem testes eficientes interceptando e modificando requisições em tempo real, permitindo que pesquisadores de segurança identifiquem rapidamente lacunas de autorização.

Prevenção e defesa

Prevenir IDOR requer a implementação de verificações de autorização adequadas em cada requisição que acessa um recurso. As aplicações devem verificar se o usuário autenticado tem permissão para acessar o objeto específico solicitado, usar mapas de referência indireta que traduzem IDs visíveis ao usuário em referências internas, implementar políticas de controle de acesso consistentes em todos os endpoints e registrar tentativas de acesso não autorizado para monitoramento. Entender IDOR da perspectiva do atacante ajuda os desenvolvedores a construir sistemas de autorização mais robustos.