Une vulnérabilité IDOR survient lorsqu'une application permet d'accéder à un objet (fichier, message, profil utilisateur) en utilisant directement son identifiant, sans vérifier si l'utilisateur connecté a le droit d'y accéder.
Imaginez l'URL suivante pour voir votre facture :
Que se passe-t-il si vous changez 1001 en 1002 ?
Si le site est mal sécurisé, vous verrez la facture du client suivant ! C'est une fuite de données massive, car il suffit d'écrire un petit script pour télécharger toutes les factures de 1 à 1000000.
Le développeur doit toujours vérifier les permissions lors de l'accès à un objet :