IDOR (Insecure Direct Object Reference)

IDOR (Insecure Direct Object Reference) คือช่องโหว่ที่ทำให้ attacker สามารถ เข้าถึงข้อมูลของ user อื่น โดยเปลี่ยน ID หรือ reference ใน request! เป็นช่องโหว่ที่เรียบง่ายมากแต่มี impact สูงเพราะสามารถเปิดเผยข้อมูลส่วนตัว ข้อมูลทางการเงิน หรือแม้แต่ข้อมูลทางการแพทย์ของ users คนอื่นๆ ได้! IDOR ง่ายต่อการค้นหาและ exploit ทำให้เป็นหนึ่งใน vulnerabilities ที่ bug bounty hunters ชอบหามากที่สุด!

พบบ่อยมาก

IDOR เป็นช่องโหว่ที่พบบ่อยที่สุดใน Bug Bounty programs และเป็นส่วนหนึ่งของ OWASP Top 10 A01 (Broken Access Control)! ทุกๆ 10 applications มี 7-8 ตัวที่มี IDOR vulnerability!