idor
IDOR
Idor (Insecure direct object reference) je podvrsta access control ranjivosti web aplikacije koja dopušta korisniku pristup nekom resursu bez provjere ovlasti.
(Ne)Predvidljive baze podataka (Hacknite)
Korisniku je dana mogućnost uploadanja datoteke na stranicu.
Prikaz datoteka moguće je vidjeti na relativnoj
putanji “/view.php” (klikom na vezu “stranici” nakon uploada). 
Unutar URL-a kroz parametar “id” je definirano kojem resursu se pristupa ,npr.
http://chal.platforma.hacknite.hr:10009/view.php?id=9
će dohvatiti dokument s id-em 9.
Napadač može izmijeniti vrijednost parametra i tako pristupiti drugim dokumentima. Može pretpostaviti da se id-evi dodjeljuju slijedno. Isprobavanjem brojeva od 0 do 9 pronađe se resurs (id=8) s CTF zastavom.
idor.txt · Last modified: 2023/12/07 16:20 by 127.0.0.1