1 статья с этим тегом
IDOR позволяет пользователю изменить ?id=124 на 125 и прочитать чужой счёт или персональные данные — нарушение контроля доступа. Реальная защита: на сервере при каждом доступе проверять, разрешён ли вошедшему пользователю этот объект. Трудноугадываемые идентификаторы — не решение.