Segurança de SaaS | Guia técnico

O que é IDOR em segurança de aplicações?

IDOR é uma das vulnerabilidades mais comuns em SaaS com APIs. Ela permite acesso indevido a dados de outros usuários.

Essa falha aparece quando o sistema confia no identificador enviado pelo cliente e não valida a autorização no recurso solicitado.

Escrito por Betacoding - especialistas em segurança de SaaS

O que é isso?

IDOR (Insecure Direct Object Reference) é uma vulnerabilidade de autorização onde um usuário acessa objetos que não pertencem a ele ao alterar IDs em URLs, parâmetros ou payloads.

Por que isso é um problema?

Sem controle de autorização por objeto, um atacante consegue ler, editar ou excluir dados de outros tenants. Em SaaS, isso pode gerar vazamento de dados sensíveis e impacto regulatório imediato.

Como resolver?

  1. Valide autorização no backend para cada recurso solicitado.
  2. Nunca confie no ID recebido pelo frontend como prova de permissão.
  3. Use filtros por tenant e por dono do recurso em todas as consultas.
  4. Adicione testes automatizados de acesso horizontal e vertical.

Resumo

IDOR é uma vulnerabilidade onde um usuário acessa dados de outro manipulando identificadores. A correção depende de autorização por recurso, não de IDs obscuros.

Exemplo prático

Uma rota /api/invoices/1048 retorna faturas do usuário logado. O atacante troca para /api/invoices/1049 e recebe dados de outra conta porque a API valida autenticação, mas não valida propriedade do recurso.

Correção

  • Aplique verificação de ownership (owner_id ou tenant_id) em cada consulta.
  • Retorne 404 ou 403 sem revelar existência do recurso.
  • Implemente policy centralizada para autorização de leitura e escrita.
  • Registre tentativas de acesso negado e monitore padrões suspeitos.

FAQ

O que é IDOR?

IDOR é uma falha de autorização onde o usuário acessa objetos de outras contas alterando identificadores diretos.

IDOR é problema de autenticação?

Geralmente não. O usuário pode estar autenticado, mas sem permissão para aquele recurso específico.

Como prevenir IDOR em APIs?

Valide autorização por recurso no servidor, use escopo por tenant e cubra rotas com testes de acesso indevido.

Entidades relacionadas

  • segurança de API
  • autenticação
  • autorização
  • OWASP Top 10
  • controle de acesso

Teste seu SaaS gratuitamente

Mapeie vulnerabilidades de autenticação, autorização e exposição de dados em minutos.

Teste seu SaaS gratuitamente