IDOR — Accès non autorisé aux ressources
★★★★★
Qu'est-ce que IDOR ?
IDOR (Insecure Direct Object Reference) : l'application utilise un identifiant contrôlable (ID numérique, UUID) pour accéder à une ressource, sans vérifier si l'utilisateur y a droit.
Exemples et méthodologie
GET /api/user/1337/profile -> GET /api/user/1338/profile
GET /download?file=facture_1337.pdf -> facture_1338.pdf
# Méthodologie :
1. Créer 2 comptes (A et B)
2. Avec A : repérer tous les IDs dans les requêtes
3. Tester d accéder aux ressources de B
4. Tester toutes les méthodes HTTP
5. Chercher les IDs dans URL, body, headers, cookies Défenses
Vérifier les droits côté serveur pour chaque objet · UUIDs aléatoires (plus difficile à énumérer) · Lier chaque objet à son propriétaire · Alertes sur accès anormaux