IDOR は、ユーザーがアクセスを許可されているかどうかを適切に検証せずに、アプリケーションが内部オブジェクト参照を公開するアクセス制御の脆弱性の一種です。
攻撃者は、URL またはリクエスト内の 1 つのパラメーターを操作するだけで、ユーザーのプライベート データを閲覧したり、所有していない情報を変更したり、機密レコードを削除したりできます。
脆弱性を暴露したコードは、ハッカーのコード例で見つかりました。
また、パスワードを変更したり、他のユーザーの資格情報を隠したりするために使用できる番号も含まれていました…
コメント