1 artigo com esta tag
O IDOR permite que um usuário troque ?id=124 por 125 e leia a fatura ou os dados pessoais de outra pessoa — controle de acesso quebrado. A defesa de verdade: no servidor, verificar a cada acesso se o usuário logado tem permissão sobre este objeto. IDs difíceis de adivinhar não são uma correção.