===IDOR===

Idor (Insecure direct object reference) je podvrsta access control ranjivosti web aplikacije koja dopušta 
korisniku pristup nekom resursu bez provjere ovlasti.


==(Ne)Predvidljive baze podataka (Hacknite)==

Korisniku je dana mogućnost uploadanja datoteke na stranicu.
{{idorimage1.png}}

Prikaz datoteka moguće je vidjeti na relativnoj
putanji "/view.php" (klikom na vezu "stranici" nakon uploada). {{idorimage2.png}}

Unutar URL-a kroz parametar "id" je definirano kojem resursu se pristupa ,npr. <code>http://chal.platforma.hacknite.hr:10009/view.php?id=9</code> će dohvatiti dokument s //id//-em 9.

Napadač može izmijeniti vrijednost parametra i tako pristupiti drugim dokumentima. Može pretpostaviti da se id-evi dodjeljuju slijedno. Isprobavanjem brojeva od 0 do 9 pronađe se resurs (id=8) s CTF zastavom.