REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object...

13
REFERENCIA DIRECTA INSEGURA A OBJETOS

Transcript of REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object...

Page 1: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

REFERENCIA DIRECTA INSEGURA A OBJETOS

Page 2: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

DEFINICION:

Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una referencia hacia un objeto interno de la aplicación, tales como un fichero, directorio, registro de base de datos, o una clave tal como una URL o un parámetro de formulario Web.

Page 3: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

Un atacante podría manipular este tipo de referencias en la aplicación para acceder a otros objetos sin autorización, a menos que se aplique un control de accesos como medida de prevención.

Page 4: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

ENTORNOS AFECTADOS:

Todos los entornos de desarrollo de aplicaciones de Web son vulnerables presentando referencias a objetos internos de la aplicación.

Page 5: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

VULNERABILIDAD

Muchas aplicaciones presentan a los usuarios referencias a objetos internos. Un atacante podría manipular los parámetros de entrada a la aplicación cambiando estas referencias, saltándose de esta manera un control de accesos incorrectamente desarrollado

Page 6: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

Con frecuencia, estas referencias apuntan a sistemas de ficheros y bases de datos, si bien cualquier otro elemento de la aplicación podría ser vulnerable por un problema de esta categoría.

Page 7: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

EJEMPLO:

En el ejemplo que se presenta a continuación, un atacante puede cambiar el parámetro "cartID" para obtener la información asociada a cualquier "carrito de la compra" de la aplicación.

int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); String query = "SELECT * FROM table WHERE cartID=" + cartID;

Page 8: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

PROTECCION:

La mejor protección es evitar presentar al usuario cualquier referencia directa a un objeto, mediante el uso de un índice, un mapa de referencias indirectas, o cualquier otro método que sea fácil de verificar. Si es necesario utilizar una referencia directa, se deberá comprobar que el usuario está autorizado a usarla antes de hacerlo.

http://www.example.com/application?file=1

http://www.example.com/application?file=1
Page 9: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

En caso de que sea necesario presentar referencias a elementos de base de datos, hay que asegurarse de que las sentencias SQL y otros mecanismos de acceso a base de datos sólo permiten que se obtengan los registros autorizados:

int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); User user = (User)request.getSession().getAttribute( "user" ); String query = "SELECT * FROM table WHERE cartID=" + cartID + " AND userID=" + user.getID();

Page 10: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

EJEMPLO DE UN ATAQUE

Page 11: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.
Page 12: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.
Page 13: REFERENCIA DIRECTA INSEGURA A OBJETOS. DEFINICION: Una referencia directa a objetos ("direct object reference") ocurre cuando un programador expone una.

GEOMETRÍA DE LOS OBJETOS BÁSICOS; OBJETOS COMPUESTOS;

GEOMETRÍA DE LOS OBJETOS BÁSICOS; OBJETOS COMPUESTOS;

PROGRAMACIÓN ORIENTADA A OBJETOS - ferestrepoca.github.io · programaciÓn orientada a objetos –principios de la poo 34 • Este principio hace referencia a que muchas interfaces

PROGRAMACIÓN ORIENTADA A OBJETOS - ferestrepoca.github.io · programaciÓn orientada a objetos –principios de la poo 34 • Este principio hace referencia a que muchas interfaces

Sistema Solar Sol - mimontessori.files.wordpress.com El sistema solar es el sistema planetario en el que se encuentran la Tierra y otros objetos astronómicos que giran directa

Sistema Solar Sol - mimontessori.files.wordpress.com El sistema solar es el sistema planetario en el que se encuentran la Tierra y otros objetos astronómicos que giran directa

CONVENIO FABA-IOMA VALORES DE REFERENCIA DE … · baciloscopia directa y cultivo (por muestra) 288,00. 105: bacteriologia directa cultivo e identificacion del germen. 180,00: 104.

CONVENIO FABA-IOMA VALORES DE REFERENCIA DE … · baciloscopia directa y cultivo (por muestra) 288,00. 105: bacteriologia directa cultivo e identificacion del germen. 180,00: 104.

TERMINOS DE REFERENCIArtvc-assets-sistemasenalcolombia.gov.co.s3.amazonaws.com...Los términos de referencia de la invitación directa pueden ser consultados en Internet en la dirección:

TERMINOS DE REFERENCIArtvc-assets-sistemasenalcolombia.gov.co.s3.amazonaws.com...Los términos de referencia de la invitación directa pueden ser consultados en Internet en la dirección:

Sección de Investigaciones Contables LA …bibliotecadigital.econ.uba.ar/download/cya/cya_v16_n32_04.pdf · objetos, en una clara referencia a las decisiones que califican la ...

Sección de Investigaciones Contables LA …bibliotecadigital.econ.uba.ar/download/cya/cya_v16_n32_04.pdf · objetos, en una clara referencia a las decisiones que califican la ...

 · Web viewANEXO 1. CONTRATACIÓN DIRECTA. DE CONSULTORÍA. TÉRMINOS DE REFERENCIA: El consultor en la ejecución de los trabajos se sujetará a las …

 · Web viewANEXO 1. CONTRATACIÓN DIRECTA. DE CONSULTORÍA. TÉRMINOS DE REFERENCIA: El consultor en la ejecución de los trabajos se sujetará a las …

HERRAMIENTA DE ORIENTACIÓN DE LA OIT Y LA OIE …white.lim.ilo.org/ipec/documentos/ilo_ioe_child_labour_guidance_es.pdf · haciendo referencia directa a la Declaración de la OIT

HERRAMIENTA DE ORIENTACIÓN DE LA OIT Y LA OIE …white.lim.ilo.org/ipec/documentos/ilo_ioe_child_labour_guidance_es.pdf · haciendo referencia directa a la Declaración de la OIT

Aplicación de la Web Semántica en Tráfico · 2018-07-05 · directa de una operación sobre varios conceptos de la ontología. ... personas y objetos educativos, respectivamente.

Aplicación de la Web Semántica en Tráfico · 2018-07-05 · directa de una operación sobre varios conceptos de la ontología. ... personas y objetos educativos, respectivamente.

Arquitectura de Software de Referencia para Objetos Inteligentes en ...

Arquitectura de Software de Referencia para Objetos Inteligentes en ...

ACCIÓN DE REPARACIÓN DIRECTA REPARACIÓN DIRECTA / …

ACCIÓN DE REPARACIÓN DIRECTA REPARACIÓN DIRECTA / …

Material de estudio- Abstracciones - MARCO · Abstracciones. Nueva York, ... Soulages y Poliakoff eliminaron con brochazos espontáneos cualquier referencia a objetos del mundo real,

Material de estudio- Abstracciones - MARCO · Abstracciones. Nueva York, ... Soulages y Poliakoff eliminaron con brochazos espontáneos cualquier referencia a objetos del mundo real,

TÉRMINOS DE REFERENCIA DE LA …‰RMINOS DE REFERENCIA DE LA CONTRATACIÓN DIRECTA No. 039 DEL 2005 OBJETO: SERVICIOS DE FORMACIÓN ESPECIALIZADOS PARA LA REALIZACIÓN DE PROGRAMAS

TÉRMINOS DE REFERENCIA DE LA …‰RMINOS DE REFERENCIA DE LA CONTRATACIÓN DIRECTA No. 039 DEL 2005 OBJETO: SERVICIOS DE FORMACIÓN ESPECIALIZADOS PARA LA REALIZACIÓN DE PROGRAMAS

Diputació de TarragonaPLA DIACCIÓ MUNICIPAL 2013-2016 Concessió directa directa convocatòria convocatòria convocatòria convocatòria convocatòria directa directa directa directa

Diputació de TarragonaPLA DIACCIÓ MUNICIPAL 2013-2016 Concessió directa directa convocatòria convocatòria convocatòria convocatòria convocatòria directa directa directa directa

APTITUDES PUNTUACIÓN DNI Referencia Turno Plaza ACIERTOS ... · DNI Referencia Turno Plaza ACIERTOS ERRORES OMISIONES PUNTUACIÓN DIRECTA PERCENTIL APTITUDES ***3237*** GIV-02-05180

APTITUDES PUNTUACIÓN DNI Referencia Turno Plaza ACIERTOS ... · DNI Referencia Turno Plaza ACIERTOS ERRORES OMISIONES PUNTUACIÓN DIRECTA PERCENTIL APTITUDES ***3237*** GIV-02-05180

OBJETOS IMPOSIBLES Aprendemos a describir objetos.

OBJETOS IMPOSIBLES Aprendemos a describir objetos.

REFERENCIA DIDáCTICA DIRECTA E INDIRECTA ...Referencia didáctica directa e indirecta 54 Revista Mexicana de Análisis de la Conducta / Mexican Journal of Behavior Analysis v37 n1

REFERENCIA DIDáCTICA DIRECTA E INDIRECTA ...Referencia didáctica directa e indirecta 54 Revista Mexicana de Análisis de la Conducta / Mexican Journal of Behavior Analysis v37 n1

Tema 6: Clases Antonio J. Sierra. Índice 1. Fundamentos. 2. Declaración de objetos. 3. Asignación de objetos a variables referencia. 4. Métodos. 5. Constructores.

Tema 6: Clases Antonio J. Sierra. Índice 1. Fundamentos. 2. Declaración de objetos. 3. Asignación de objetos a variables referencia. 4. Métodos. 5. Constructores.

Fabricación Aditiva...La fabricación aditiva permite la transformación directa de archivos de construcción en objetos plenamente operativos. Por medio de la impresión 3D se fabrican

Fabricación Aditiva...La fabricación aditiva permite la transformación directa de archivos de construcción en objetos plenamente operativos. Por medio de la impresión 3D se fabrican

¿Qué son los Datos Espaciales y los Sistemas de ... · bien definidas, valores numéricos a propiedades de objetos. ... ¿Qué ejemplos de medición directa o indirecta conoce?

¿Qué son los Datos Espaciales y los Sistemas de ... · bien definidas, valores numéricos a propiedades de objetos. ... ¿Qué ejemplos de medición directa o indirecta conoce?