該標籤下有 1 篇文章
IDOR 是一種僅靠把 ?id=124 改成 125 就能看到他人發票、個人資訊的存取控制缺陷漏洞。關鍵防禦是「在伺服器端每次校驗『目前登入的這個使用者,是否可以查看該物件』」。難以猜測的 ID 並不能算作對策。