■ 问题：攻击者可以利用直接对象参照物而越权存取其他对象。当网站地址或者其他参数包含了文件、目录、数据库记录或者关键字等参照物对象时就可能发生这种攻击。

银行网站通常使用用户的账号作为主关键字，这样就可能在网络接口中暴露用户的账号。

OWASP说：“数据库关键字的参照物通常会泄密。攻击者可以通过猜想或者搜索另一个有效关键字的方式攻击这些参数。通常，它们都是连续的。”

■ 真实案例：澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是在网站地址中更改了税务ID账号就获得了1.7万家企业的详细资料。黑客以电子邮件的方式通知了那1.7万家企业，告知它们的数据已经被破解了。

■ 如何保护用户：利用索引，通过间接参照映射或者另一种间接法来避免发生直接对象参照物泄密。如果你不能避免使用直接参照，那么在使用它们之前必须对网站访问者进行授权。