该标签下有 1 篇文章
IDOR 是一种仅靠把 ?id=124 改成 125 就能看到他人发票、个人信息的访问控制缺陷漏洞。关键防御是「在服务端每次校验『当前登录的这个用户,是否可以查看该对象』」。难以猜测的 ID 并不能算作对策。