Cách phòng chống
Một số biện pháp phòng chống:
Test cẩn thận – Nguyên nhân gây ra lỗi thường là do sự bất cẩn của developer. Tuy nhiên, nếu
để sản phẩm bị lỗi thì đây là lỗi của tester. Đây là lỗi nằm trong code, do đó tester phải chịu
trách nhiệm nếu để lỗi này xảy đến với người dùng.
Bảo vệ dữ liệu “nhảy cảm” – Với những dữ liệu “nhạy cảm” như source code, config, database
key, cần hạn chế truy cập. Cách tốt nhất là chỉ cho phép các IP nội bộ truy cập các dữ liệu này,
hacker khỏi táy máy.
Kiểm tra chặt chẽ quyền truy cập của user – Hãy thử xem tiki giải quyết vấn đề này như thế
nào? Đơn hàng trên tiki.vn có dạng: https://tiki.vn/sales/order/view?code=33598178
Dễ thấy, tiki để id của đơn hàng trong URL. tuy nhiên, khi mình thử thay đối id của đơn hàng
thì tiki redirect mình lại trang https://tiki.vn/sales/order/history. Bảo mật có tâm là phải như
thế!
Tránh để lộ key của đối tượng – Trong các trường hợp đã nêu, id của đối tượng là số int, do
đó hacker có thể đoán ra id của các đối tượng khác. Nhằm phòng tránh việt này, ta có thể mã
hoá id, dùng GUID để làm id. Hacker không thể nào dò ra ID của đối tượng khác được.
L o tte Cinem a giờ đã mã hoá username trong cookie, khỏi nghịc h ngợm nhéMột số nguồn tham khảo thêm:
https://www.owasp.org/index.php/Top_10_2013-A4-
Insecure_Direct_Object_References
http://lockmedown.com/secure-from-insecure-direct-object-reference/
https://codedx.com/insecure-direct-object-references/