آسیب پذیریIDOR

 IDOR  مخفف Insecure Direct Object Reference  می باشد.این آسیب پذیری به مهاجم اجازه میدهد تا بدون داشتن اجازه به منابع دسترسی داشته باشد و یا اعمالی بر روی وب اپلیکیشن انجام دهد. این کار با تغییر دادن پارامترهای درخواستی هایی که به سمت سرور ارسال میشود تا بتوان چیزهایی همچون (اسناد، فایل ها و داده ها) را بدست آورد. این کار با نبود تاییدیه که سمت سرور است و یک درخواست بدون تایید این که این چیز متعلق به درخواست شخص باشد که درخواستی را میفرستد.

این آسیب پذیری چگونه صورت میگیرد؟

برای اینکه بتوانید این آسیب پذیری را پیدا کنید باید حواستان بهIDها باشد. به عنوان مثال فرض کنید که یک آدرس در سرویس های آنلاین بوجود آوردید و پروفایل شما از طریق آدرس زیر قابل دسترسی است: http://example.com/profile?user_id=100، اگر توانستید در این آدرسuser_idرا از 100 به 101 تغییر دهید (http://example.com/profile?user_id=101) و توانستید به آدرس پروفایل دیگری دسترسی داشته باشید در حقیقت توانسته اید یک آسیب پذیری IDOR پیدا کنید.