6.5.8

Una referencia a un objeto directo ocurre cuando un desarrollador expone una referencia a un objeto de implementación interna, como un archivo, directorio, registro de base de datos o clave, como un parámetro de URL o formulario. Los atacantes pueden manipular esas referencias para acceder a otros objetos sin autorización.

Refuerce constantemente el control de acceso en la capa de presentación y la lógica de negocios para todas las URL. Con frecuencia, la única manera en que una aplicación protege funciones confidenciales es evitando que se muestren vínculos o URL a usuarios no autorizados. Los atacantes pueden usar esta debilidad para tener acceso y realizar operaciones no autorizadas mediante el acceso a esos URL directamente.

Es posible que un atacante enumere y explore la estructura del directorio de un sitio web (exposición completa de los directorios) y así obtener acceso a información no autorizada, así como un mayor conocimiento de los trabajos del sitio para posterior explotación.

Si las interfaces de usuarios permitan el acceso a funciones no autorizadas, es posible que personas no autorizadas accedan a credenciales con privilegios o a los datos del titular de la tarjeta. Solo aquellos usuarios autorizados deberían tener permiso para acceder a referencias de objetos directos desde recursos confidenciales. Limitar el acceso a los recursos de datos ayudará a evitar que recursos no autorizados accedan a los datos del titular de la tarjeta.