[Перевод] Как находить IDOR, как профессионал
На сегодняшний день IDOR является одним из самых распространенных и легких для нахождения багов в программе баг-баунти. Он невероятно популярен и легко обнаруживается. После прочтения множества описаний IDOR и извлечения полезных знаний, мне кажется, что пришло время поделиться ими. В этой статье я поделюсь методологиями поиска и некоторыми своими находками, надеюсь, это будет полезно.
Нет контента? Не проблема — 1 Баг
Администраторы приложений, могут создавать группы, приглашать пользователей организации в группы и добавлять их в качестве соавторов. Я добавил свой собственный аккаунт, который является обычным пользователем, в качестве соавтора, как показанно на скриншоте ниже:
Читать далееИсточник: Хабрахабр
Похожие новости
- Настройка кастомного декодера для PostgreSQL и редактирование декодера auditd в Wazuh
- Новости кибербезопасности за неделю с 21 по 27 июля 2025
- OWASP Top 10 API: Полный разбор всех угроз и как от них защититься
- Новые правила обезличивания персональных данных с 1 сентября 2025 года
- AlinaTen: Американский стартап Spear AI привлёк инвестиции для внедрения ИИ в военные подводные технологии
- Поднимаем свой Jabber/XMPP сервер в 2025 году
- Большой разлив чая: сервис анонимных слухов о мужиках Tea спалил персданные пользовательниц
- [Перевод] От согласия на использование Cookie, до выполнения команд: реальный вектор от SQLi + утечки персональных данных до RCE
- [Перевод] Обнаружение уязвимостей агентов ИИ. Часть III: Утечка данных
- Берём анализы на болезни TLS у Гемотеста