1 artículo con esta etiqueta
IDOR permite a un usuario cambiar ?id=124 por 125 y leer la factura o los datos personales de otra persona: control de acceso roto. La defensa real: en el servidor, comprobar en cada acceso si el usuario con sesión iniciada tiene permitido ese objeto. Los IDs difíciles de adivinar no son un arreglo.