关键漏洞信息 漏洞类型 IDOR (Insecure Direct Object Reference) 影响版本 Sistemas Pleno - Gestão de Locações versions up to 2025.8.0 CWE 参考 CWE-639: Authorization Bypass Through User Controlled Key (IDOR) 描述 应用程序未能正确强制执行对象引用上的访问控制。通过直接操作请求中的标识符,攻击者可以绕过授权访问属于其他用户或租户的资源。 攻击者可以: - 访问或修改文件、记录或配置而无需授权 - 枚举和检索来自其他帐户的敏感信息 - 执行未经授权的操作,如更新或删除他们不拥有的对象 影响 此漏洞损害系统的机密性和完整性。攻击者可以利用IDOR访问敏感的业务或个人数据、篡改记录或通过修改其授权范围之外的对象来破坏系统操作。 严重性 高 证明 1. 通过在请求中更改 (上下文中CPF是客户的社保号码),可以看到任何客户的个人信息。 2. 通过在浏览器URL中更改合同ID,可以查看其他用户的合同。例如,可以看到Gustavo的真实房地产合同。 3. 通过在浏览器URL中更改用户ID ( ),可以查看其他用户的个人信息。例如,可以看到Victor Vicente的信息。 4. 租赁管理平台还具有票务系统,通过更改票号,可以查看其他人的工单。例如,可以看到Michael的工单。 缓解措施 对每个对象引用(ID、文件名、记录标识符等)强制执行严格的访问控制检查。 在授权访问时,从不依赖于客户端提供的标识符。 使用间接引用(例如,将ID映射到安全生成的令牌)而不是暴露原始对象标识符。 在处理操作之前,在服务器端验证所请求对象的所有权和权限。 应用最小特权原则以减少潜在影响。 定期测试和审计端点以发现访问控制模式(包括IDOR)中的问题。