¿Es susceptible el protocolo OData a referencias directas inseguras a objetos?

Navega tus respuestas
2

El Open Data Protocol u OData es un gran protocolo creado sobre tecnologías web. Utiliza la convención URI para el intercambio de datos mediante Atom, JSON y XML. Puede utilizar la convención de URI (parámetro &) para realizar su consulta: 

?productCode=14&date=20110101&$format=JSON

Supongamos que esta es la consulta para recuperar información relacionada con un producto específico en nuestro repositorio. Mi punto es que alguien podría ver este formato de consulta en una página web y modificarlo para recuperar otro producto, incluso cuando no esté autorizado para acceder a él. Este escenario puede aparecer cuando esos servicios OData se consumen utilizando un enfoque del lado del cliente como JQuery.

¿Eso tiene sentido?

    
pregunta Michael Hidalgo 23.10.2011 - 17:18
fuente

2 respuestas

4

La clave para la Referencia de objetos directa insegura es el bit inseguro . Si bien no siempre es una buena idea usar referencias directas a objetos, a veces solo es necesario porque ese es el esquema de los datos y solo se puede usar el esquema de los datos. OData es uno de esos casos. Así que aquí está atascado con la administración del bit inseguro, y OData no tiene ningún mecanismo de autenticación o autorización integrado. Debe crear los esquemas de autenticación.

Entonces, para responder a su pregunta, OData solo es insegura siempre y cuando no haya configurado authn o authz para los objetos en particular.

    
respondido por el Steve 23.10.2011 - 19:52
fuente
2

Creo que esto es cierto para todas las URL, ya sea que utilicen el protocolo OData o simplemente muestren una página web: 

http://security.stackexchange.com/questions/8326

La autorización debe realizarse en el momento en que se procesa la solicitud. Por ejemplo, no puede acceder a esta pregunta a menos que tenga suficiente reputación: 

http://stackoverflow.com/questions/686216

Mantener las URL en secreto durante más de un par de horas no funciona, incluso cuando no se pueden adivinar, porque muchas personas usan extensiones de navegador que informan cada URL visitada a los principales motores de búsqueda.

    
respondido por el Hendrik Brummermann 23.10.2011 - 18:35
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona la redirección de este sitio web? Estoy usando un ASA de Cisco como punto final de VPN. ¿Dónde se firewall los clientes VPN?