4.不安全的對(duì)象直接引用

不安全的對(duì)象直接弓|用（Insecure Direct Object References，IDOR）指當(dāng)Web開發(fā)人員未妥善保護(hù)內(nèi)部實(shí)現(xiàn)對(duì)象，而在暴露出某些內(nèi)部對(duì)象的引用時(shí)，如內(nèi)部某個(gè)文件、目錄或者數(shù)據(jù)庫口令，攻擊者可禽旨利用這個(gè)不安全的直接對(duì)象引用去訪問未授權(quán)資源，尤其是在其他訪問控制或保護(hù)措施不到位時(shí)，更可能導(dǎo)致讀取系統(tǒng)上任意文件或重要資料。

對(duì)于Web系統(tǒng)中，通常有的用戶只具有部分訪問權(quán)限。但是在生成web頁面時(shí)，應(yīng)用程序經(jīng)常使用對(duì)象的實(shí)名或關(guān)鍵字，而不是對(duì)象的間接引用數(shù)字。此時(shí)攻擊者可以通過代碼分析和嘗試來直接訪問這些對(duì)象，從而可能訪問未授權(quán)資源。