Se encuentra en:
Referencia directa a objetos
LIBP-0309 (Libro de pautas)
- Área: Codificación y Validación de entrada/salida
- Tipo de pauta: Directriz
- Carácter de la pauta: Obligatoria
Evitar la referencia directa a objetos.
Se produce cuando se expone una referencia directa a un objeto de la aplicación, como un archivo, directorio, base de datos, o clave, como un parámetro del URL o dentro de un formulario. Un atacante puede manipular directamente la referencia a los objetos para los cuales se supone que no debe estar autorizado, a menos que se tomen medidas de control de acceso a esas referencias.
La mejor protección es evitar exponer directamente a los usuarios las referencias a los objetos de la aplicación mediante el uso de índices, referencias indirectas de ruta u otro método indirecto.
Pautas
| Título | Carácter |
|---|---|
| Referencias directas | No Recomendada |
| Referencias indirectas | Obligatoria |
| Comprobar el acceso | Obligatoria |
Referencias directas
Evitar exponer referencias directa a los usuarios.
No exponer al usuario ninguna referencia directa a un objeto de la aplicación, como un archivo, directorio, base de datos, o clave, como un parámetro del URL o dentro de un formulario.
Referencias indirectas
Utilizar mapas de referencias indirectas para referencias objetos del servidor
A través de una clave intermedia se garantizar que el usuario que intenta acceder al recurso dispone de los permisos suficientes, así como evitar la publicación directa de recursos a través del acceso directo mediante una URL que pueda ser predicha.
Comprobar el acceso
Comprobar el acceso al objeto
Siempre que se acceda a un objeto mediante referencia directa se debe incluir una comprobación de control de acceso para asegurar que el usuario está autorizado a acceder al objeto solicitado.
