REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object...

REFERENCIA DIRECTA INSEGURA A OBJETOS

DEFINICION:

Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una referencia hacia un objeto interno de la aplicación, tales como un fichero, directorio, registro de base de datos, o una clave tal como una URL o un parámetro de formulario Web.

Un atacante podría manipular este tipo de referencias en la aplicación para acceder a otros objetos sin autorización, a menos que se aplique un control de accesos como medida de prevención.

ENTORNOS AFECTADOS:

Todos los entornos de desarrollo de aplicaciones de Web son vulnerables presentando referencias a objetos internos de la aplicación.

VULNERABILIDAD

Muchas aplicaciones presentan a los usuarios referencias a objetos internos. Un atacante podría manipular los parámetros de entrada a la aplicación cambiando estas referencias, saltándose de esta manera un control de accesos incorrectamente desarrollado

Con frecuencia, estas referencias apuntan a sistemas de ficheros y bases de datos, si bien cualquier otro elemento de la aplicación podría ser vulnerable por un problema de esta categoría.

EJEMPLO:

En el ejemplo que se presenta a continuación, un atacante puede cambiar el parámetro "cartID" para obtener la información asociada a cualquier "carrito de la compra" de la aplicación.

int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); String query = "SELECT * FROM table WHERE cartID=" + cartID;

PROTECCION:

La mejor protección es evitar presentar al usuario cualquier referencia directa a un objeto, mediante el uso de un índice, un mapa de referencias indirectas, o cualquier otro método que sea fácil de verificar. Si es necesario utilizar una referencia directa, se deberá comprobar que el usuario está autorizado a usarla antes de hacerlo.

http://www.example.com/application?file=1

En caso de que sea necesario presentar referencias a elementos de base de datos, hay que asegurarse de que las sentencias SQL y otros mecanismos de acceso a base de datos sólo permiten que se obtengan los registros autorizados:

int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); User user = (User)request.getSession().getAttribute( "user" ); String query = "SELECT * FROM table WHERE cartID=" + cartID + " AND userID=" + user.getID();

EJEMPLO DE UN ATAQUE

REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object...

Documents

Transcript of REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object...

ACCIÓN DE REPARACIÓN DIRECTA - Niega, Caso medida de ... · Referencia: ACCION DE REPARACION DIRECTA (APELACION SENTENCIA) Decide la Sala el recurso de apelación interpuesto por

Aplicación de la Web Semántica en Tráfico · 2018-07-05 · directa de una operación sobre varios conceptos de la ontología. ... personas y objetos educativos, respectivamente.

CATÁLOGO DE OBJETOS - Geoportal IDESCidesc.cali.gov.co/download/normatividad/catalogo_objetos... · 1.1.1.2 Objeto: Patio Taller ... UNIDAD DE MEDIDA REFERENCIA ... Tipo de Patio

Tema 2: Clase y objetos en Java - Universidad de Murciadis.um.es/~bmoros/privado/apuntes/Curso08-09/POO2-Java-0809.pdf · Tema 2 Clases y Objetos 24 Semántica referencia Una referencia

II. TEORÍAS DE LA REFERENCIA DIRECTA · 2017-08-31 · esencial de su teoría de la referencia directa, presenta su célebre distinción entre «designadores accidentales» (p. ej.,

Seminarios prácticos...• Tipos de luces: el sol, el fuego, luz directa, indirecta, con movimiento, la luz dentro de la sombra, el color. • Objetos que se interponen: objetos encontrados,

Cuadernillo Pedagógico - ciudadesamuralladas.com€¦ · be la lectura o la tenencia de libros. Referencia directa: ... *Enlace a wikipedia: Recomendación: También podemos acercarnos

HERRAMIENTA DE ORIENTACIÓN DE LA OIT Y LA OIE …white.lim.ilo.org/ipec/documentos/ilo_ioe_child_labour_guidance_es.pdf · haciendo referencia directa a la Declaración de la OIT

· Web viewCómo citar este artículo / Referencia normalizada. A Barranquero Carretero, N Limón Serrano (2017): “Objetos y métodos dominantes en comunicación …

Fabricación Aditiva - Nabertherm · 2019. 7. 5. · La fabricación aditiva permite la transformación directa de archivos de construcción en objetos plenamente operativos. Por

PROGRAMACIÓN ORIENTADA A OBJETOS · Concepto de la programación orientada a objetos. Objetos. o Definición. o Identificación de objetos. o Comunicación entre objetos. ... Realiza

ELABORACIÓN DE OBJETOS DE APRENDIZAJE: UNA … · Diseño instruccional El término “diseño instruccional”, como su nombre lo indica, hace referencia al proceso sistemático,

Diputació de TarragonaPLA DIACCIÓ MUNICIPAL 2013-2016 Concessió directa directa convocatòria convocatòria convocatòria convocatòria convocatòria directa directa directa directa

CONVENIO FABA-IOMA VALORES DE REFERENCIA DE … · baciloscopia directa y cultivo (por muestra) 288,00. 105: bacteriologia directa cultivo e identificacion del germen. 180,00: 104.

Sección de Investigaciones Contables LA …bibliotecadigital.econ.uba.ar/download/cya/cya_v16_n32_04.pdf · objetos, en una clara referencia a las decisiones que califican la ...

TÉRMINOS DE REFERENCIA OBJETO: extranjera directa ... · Noviembre 2016 . Página 2 de 61 ÍNDICE TÉRMINOS DE REFERENCIA OBJETO CAPÍTULO I. CONDICIONES GENERALES ... biocombustible,

Material de estudio- Abstracciones - MARCO · Abstracciones. Nueva York, ... Soulages y Poliakoff eliminaron con brochazos espontáneos cualquier referencia a objetos del mundo real,

Referencia didáctica directa e indirecta: efectos en el ...

Objetos de saber y otros objetos

TERMINOS DE REFERENCIArtvc-assets-sistemasenalcolombia.gov.co.s3.amazonaws.com...Los términos de referencia de la invitación directa pueden ser consultados en Internet en la dirección: