Il protocollo OData è suscettibile di riferimenti agli oggetti diretti non sicuri?

Question

Il protocollo OData è suscettibile di riferimenti agli oggetti diretti non sicuri?

#1 da (4 voti)
#2 da (2 voti)

2

Open Data Protocol o OData è un ottimo protocollo creato su Web Technologies. Utilizza la convenzione URI per lo scambio di dati usando Atom, JSON e XML. È possibile utilizzare la convenzione URI (parametro e amp;) per eseguire la query:

?productCode=14&date=20110101&$format=JSON

Supponiamo che questa sia la query per recuperare le informazioni relative a un prodotto specifico nel nostro repository. Il mio punto è che qualcuno potrebbe vedere questo formato di query in una pagina Web e modificarlo per recuperare un altro prodotto, anche quando non è autorizzato ad accedervi. Questo scenario può comparire quando questi servizi OData vengono consumati utilizzando un approccio lato client come JQuery.

Ha senso?

javascript web-application attack-prevention

posta Michael Hidalgo 23.10.2011 - 17:18

fonte

2 risposte

Leggi altre domande sui tag javascript web-application attack-prevention

Prova di hash delle password SHA-3 Permettere a un utente di conoscere le proprie capacità autorizzate diminuisce la sicurezza?

score 4 · Answer 1

La chiave di Insecure Direct Object Reference è il bit non sicuro . Anche se non è sempre una buona idea usare riferimenti diretti agli oggetti a volte basta perché questo è lo schema dei dati e puoi usare solo lo schema dei dati. OData è uno di quei casi. Quindi qui sei bloccato con la gestione del bit non sicuro e OData non ha alcun meccanismo di autenticazione o autorizzazione integrato. Devi creare gli schemi di autenticazione.

Quindi per rispondere alla tua domanda, OData è insicuro solo se non hai impostato authn o authz per gli oggetti particolari.

score 2 · Answer 2

Penso che questo sia vero per tutti gli URL, indipendentemente dal fatto che utilizzino il protocollo OData o semplicemente visualizzino una pagina web:

http://security.stackexchange.com/questions/8326

L'autorizzazione deve essere eseguita nel momento in cui la richiesta viene elaborata. Ad esempio, non puoi accedere a questa domanda se non hai abbastanza reputazione:

http://stackoverflow.com/questions/686216

Mantenere segreti gli URL per più di un paio d'ore non funziona, anche quando non sono ipotizzabili, perché molte persone usano le estensioni del browser che segnalano ogni URL visitato ai principali motori di ricerca.