¿Cómo protege OWASP ESAPI contra las vulnerabilidades de referencia directa a objetos?

5

¿Qué otras buenas soluciones hay?

De la propuesta de Area51

    
pregunta AviD 16.11.2010 - 08:28
fuente

2 respuestas

4

Resumiendo el enlace de atdre: OWASP ESAPI proporciona convenientemente una asignación de un conjunto de referencias indirectas a las referencias directas, tan conveniente que incluso puede usar una asignación diferente en cada solicitud a su servicio.

Las alternativas incluyen seguridad administrada por contenedor, Apache Shiro y Spring Security, todas las cuales se describen en pregunta de StackOverflow .

    
respondido por el minopret 09.03.2012 - 06:27
fuente
3

En el proyecto OWASP ESAPI de código abierto, hay una arquitectura de ejemplo con los controles correctos implementados para evitar los IDOR. En esa arquitectura hay una interfaz llamada AccessReferenceMap.

La interfaz AccessReferenceMap extiende java.io.Serializable y se usa para asignar un conjunto de referencias internas directas de objetos a un conjunto de referencias indirectas que se pueden divulgar públicamente. Se puede usar para ayudar a proteger las claves de la base de datos, los nombres de archivo y otros tipos de referencias directas de objetos. Como regla general, los desarrolladores no deben exponer sus referencias de objetos directos, ya que esto permite a los atacantes intentar manipularlos.

enlace

    
respondido por el atdre 16.11.2010 - 15:57
fuente

Lea otras preguntas en las etiquetas