4.不安全的對象直接引用

不安全的對象直接弓|用（Insecure Direct Object References，IDOR）指當Web開發人員未妥善保護內部實現對象，而在暴露出某些內部對象的引用時，如內部某個文件、目錄或者數據庫口令，攻擊者可禽旨利用這個不安全的直接對象引用去訪問未授權資源，尤其是在其他訪問控制或保護措施不到位時，更可能導致讀取系統上任意文件或重要資料。

對于Web系統中，通常有的用戶只具有部分訪問權限。但是在生成web頁面時，應用程序經常使用對象的實名或關鍵字，而不是對象的間接引用數字。此時攻擊者可以通過代碼分析和嘗試來直接訪問這些對象，從而可能訪問未授權資源。