IDOR — Accès non autorisé aux ressources

OWASP A01 Bug Bounty #1

Qu'est-ce que IDOR ?

IDOR (Insecure Direct Object Reference) : l'application utilise un identifiant contrôlable (ID numérique, UUID) pour accéder à une ressource, sans vérifier si l'utilisateur y a droit.

Exemples et méthodologie

GET /api/user/1337/profile  ->  GET /api/user/1338/profile
GET /download?file=facture_1337.pdf  ->  facture_1338.pdf

# Méthodologie :
1. Créer 2 comptes (A et B)
2. Avec A : repérer tous les IDs dans les requêtes
3. Tester d accéder aux ressources de B
4. Tester toutes les méthodes HTTP
5. Chercher les IDs dans URL, body, headers, cookies

Défenses

Vérifier les droits côté serveur pour chaque objet · UUIDs aléatoires (plus difficile à énumérer) · Lier chaque objet à son propriétaire · Alertes sur accès anormaux