#idor — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #idor, aggregated by home.social.
-
180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему
Друг скидывает ссылку на очередной российский дейтинг-бот, ты решаешь пробежаться по DevTools “вспомнить старое”, и через 5 минут понимаешь, что попал в Матрицу: сервис, где создана иллюзия безопасности, а на самом деле — она мнимая и поддерживается документами, а не кодом. С минимальным тулкитом ты находишь 4 High уязвимости и полноценную утечку данных пользователей. Подробная история о том, как простой багхантинг превратился в масштабное расследование для проекта с 180 тысячами ежемесячных пользователей.
https://habr.com/ru/articles/1030936/
#IDOR #PHPSESSID #Mimolet_уязвимость #S3_публичный_бакет #скрейпинг #OWASP_API_Top_10 #Broken_Authentication #утечка_данных #недостатки_безопасности #приватность
-
"Insecure direct object references #IDOR are a type of access control
#vulnerability that arises when an application uses user-supplied input to
access objects directly." #INFOSEC
You mean #S3 buckets left lying around by Jeffrey #Epstein ? How embarassing. -
Violazione ANTS: un banale difetto IDOR espone 19 milioni di identità francesi in vendita sul dark web
L'Agence Nationale des Titres Sécurisés (ANTS), il portale governativo francese per passaporti, carte d'identità e patenti, è stata violata il 15 aprile 2026. Un attore di minaccia noto come 'breach3d' afferma di aver esfiltrato fino a 19 milioni di record di cittadini francesi sfruttando una vulnerabilità IDOR sull'API del portale, mettendo in vendita i dati su forum underground. -
Уязвимости в мессенджере MAX
С момента запуска программы Bug Bounty в июле 2025 года в системе накопилось уже 454 отчёта, из которых признаны валидными 288. Это не просто «рабочий процесс», а показатель
https://enep-home.ru/2026/04/13/%d1%83%d1%8f%d0%b7%d0%b2%d0%b8%d0%bc%d0%be%d1%81%d1%82%d0%b8-%d0%b2-%d0%bc%d0%b5%d1%81%d1%81%d0%b5%d0%bd%d0%b4%d0%b6%d0%b5%d1%80%d0%b5-max/ -
Fantastic Demos of Web Hacking featuring bug bounty hunter Justin Gardner!
Learn about IDOR, XSS and more.
YouTube video: https://youtu.be/KBIQE9fo8mU
Big thanks to ThreatLocker for sponsoring my trip to ZTW26 and also for sponsoring this video.
-
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator
Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub...
#Aktualności #Teksty #IDOR #Ikp #Konto #Pacjent #Websec
https://sekurak.pl/oddawales-krew-twoje-zaswiadczenie-w-ikp-mialo-przewidywalny-identyfikator/
-
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator
Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub...
#Aktualności #Teksty #IDOR #Ikp #Konto #Pacjent #Websec
https://sekurak.pl/oddawales-krew-twoje-zaswiadczenie-w-ikp-mialo-przewidywalny-identyfikator/
-
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator
Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub...
#Aktualności #Teksty #IDOR #Ikp #Konto #Pacjent #Websec
https://sekurak.pl/oddawales-krew-twoje-zaswiadczenie-w-ikp-mialo-przewidywalny-identyfikator/
-
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator
Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub...
#Aktualności #Teksty #IDOR #Ikp #Konto #Pacjent #Websec
https://sekurak.pl/oddawales-krew-twoje-zaswiadczenie-w-ikp-mialo-przewidywalny-identyfikator/
-
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator
Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub...
#Aktualności #Teksty #IDOR #Ikp #Konto #Pacjent #Websec
https://sekurak.pl/oddawales-krew-twoje-zaswiadczenie-w-ikp-mialo-przewidywalny-identyfikator/
-
Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli
W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...
#Aktualności #IDOR #Podatność #Websec
https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/
-
Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli
W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...
#Aktualności #IDOR #Podatność #Websec
https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/
-
Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli
W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...
#Aktualności #IDOR #Podatność #Websec
https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/
-
Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli
W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...
#Aktualności #IDOR #Podatność #Websec
https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/
-
Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli
W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...
#Aktualności #IDOR #Podatność #Websec
https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/
-
🔓 Found critical vulns in Taimi (LGBTQ+ dating app) - all fixed, $10k bounty
What I found:
- "Expiring" videos didn't expire, URLs stayed valid forever
- Decrement attachment ID = anyone's private videos
- Location feature bypassed photo permission checks (why upload a map preview image through the photo system??)
- Fake system messages (made a Raid Shadow Legends sponsorship lol)
The good news: Taimi actually handled this right. Fast response, $10k bounty, everything fixed quickly. No lawyers, no threats.
This is how disclosure should work. Take notes, Lovense.
Full writeup: https://bobdahacker.com/blog/taimi-idor
#InfoSec #BugBounty #ResponsibleDisclosure #IDOR #Taimi #DatingApp #Security #Privacy #CyberSecurity #LGBTQ
-
HTB Season Gacha | MonitorsFour — Полный путь от IDOR до Docker Desktop escape (WSL2) и root
Продолжая серию разборов в рамках сезонного ивента Season of the Gacha на HackTheBox, хочу поделиться прохождением MonitorsFour. Машина оказалась не самой сложной, но с неочевидным подвохом: Windows-хост с Docker Desktop, что добавило головной боли на этапе повышения привилегий. Признаюсь, меня поначалу сбило с толку, почему Nmap показывает Windows, а shell получается Linux, но об этом чуть позже. В машине реализованы IDOR, актуальные CVE и побег из Docker-контейнера, и на мой взгляд, отличный набор для отработки навыков. Давайте разбираться!
https://habr.com/ru/articles/978238/
#пентест #хакерство #hackthebox #ctf #pentesting #кибербезопасность #информационная_безопасность #idor #docker #cve
-
Wielkopolskie Centrum Medycyny Pracy – zmieniając w przeglądarce numer ID, można było zobaczyć wyniki badań innych pacjentów.
Marcin zgłosił nam prostą do wykorzystania lukę / podatność. Otóż wykonywał badania w Wielkopolskim Centrum Medycyny Pracy i w jednym z systemów zaciekawił go numer, który był widoczny w źródle HTML, a był związany z wykonywaniem badania. Zmienił ten numer o jeden i… otrzymał dostęp do wyników badań innego pacjenta....
-
Default Password Broke McHire + IDOR Demo
Watch the video on YouTube: youtu.be/_2Fb1Gjl9hI
-
[Перевод] Как я нашел критическую IDOR уязвимость в корпоративном портале бронирования Индийских железных дорог
Пошаговый разбор того, как простая уязвимость IDOR раскрыла конфиденциальные личные данные, позволила несанкционированное отправление отзывов и сделала возможной отмену билетов на рейсы, что затронуло пассажиров по всей Индии.
https://habr.com/ru/articles/929262/
#взлом #кибербезопасность #багбаунти #idor #информационная_безопасность
-
McDonald’s AI Hiring Tool McHire Security Flaw Exposed Candidate Chat Data – Source:hackread.com https://ciso2ciso.com/mcdonalds-ai-hiring-tool-mchire-security-flaw-exposed-candidate-chat-data-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #cybersecurity #Vulnerability #Hackread #McDonald #security #Paradox #privacy #Leaks #IDOR #AI
-
McDonald’s AI Hiring Tool McHire Leaked Data of 64 Million Job Seekers https://hackread.com/mcdonalds-ai-hiring-tool-mchire-leaked-job-seekers-data/ #Cybersecurity #Vulnerability #Security #McDonald #Privacy #Paradox #Leaks #IDOR #AI
-
McDonald’s AI Hiring Tool McHire Leaked Data of 64 Million Job Seekers – Source:hackread.com https://ciso2ciso.com/mcdonalds-ai-hiring-tool-mchire-leaked-data-of-64-million-job-seekers-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #cybersecurity #Vulnerability #Hackread #McDonald #security #Paradox #privacy #Leaks #IDOR #AI
-
#McDonald's #AI hiring bot exposed 64 million job applicants' personal data in McHire platform through #IDOR security vulnerability and weak password "123456.":
👇
https://cybersecuritynews.com/mcdonalds-ai-hiring-bot-leaks/ -
Would You Like an IDOR With That? Leaking 64m McDonald's Job Applications
#HackerNews #IDOR #McDonalds #JobApplications #DataLeak #Cybersecurity
-
Mini #securecoding lesson: APIs are often where #IDOR vulnerabilities live. They’re scriptable, discoverable, and rarely protected by frontend logic. Even endpoints not visible to users are vulnerable! Attackers use tools like Burp or Postman to find and exploit them. Easily!
-
Jak można było czytać listę połączeń klientów sieci Verizon
Evan Connelly zaprezentował odkrytą przez siebie podatność w aplikacji Verizon Call Filter na urządzenia z systemem iOS. Co prawda problem dotyczy klientów tej amerykańskiej sieci GSM, jednak postanowiliśmy opisać błąd leżący u podstaw tej podatności, ponieważ z doświadczenia wiemy, że luki klasy IDOR (ang. Insecure Direct Object Reference) pojawiają się...
#WBiegu #Billing #IDOR #Podatność #Verizon #Websec
https://sekurak.pl/jak-mozna-bylo-czytac-liste-polaczen-klientow-sieci-verizon/
-
[Перевод] IDOR & UUIDs для утечки PII
Введение Привет, сегодня я поделюсь с вами очередным отчетом. Уязвимость, о которой мы поговорим, это IDOR. С помощью которой, я смог раскрыть личную идентификационную информацию (сокращенно PII). Быстро объясню, что такое IDOR и PII. Что такое IDOR Это сокращение от Insecure Direct Object Reference (небезопасная прямая ссылка на объект). Что это значит? Проще говоря, это уязвимость, которая позволяет злоумышленнику выполнять CRUD операции (создание, чтение, обновление, удаление) от имени других пользователей, так как приложение не проверяет, действительно ли пользователь, получающий доступ к ресурсу, является его владельцем. Что такое PII Это любая личная идентификационная информация, которой может обладать пользователь и которая может позволить создать копию профиля конкретного человека (включая электронные почты, номера телефонов, номера социального страхования и так далее). Теперь перейдем к делу
https://habr.com/ru/articles/897794/
#bugbounty #bughunting #кибербезопасность #багхантинг #багбаунти #idor
-
[Перевод] Как находить IDOR, как профессионал
На сегодняшний день IDOR является одним из самых распространенных и легких для нахождения багов в программе баг-баунти. Он невероятно популярен и легко обнаруживается. После прочтения множества описаний IDOR и извлечения полезных знаний, мне кажется, что пришло время поделиться ими. В этой статье я поделюсь методологиями поиска и некоторыми своими находками, надеюсь, это будет полезно. Нет контента? Не проблема — 1 Баг Администраторы приложений, могут создавать группы, приглашать пользователей организации в группы и добавлять их в качестве соавторов. Я добавил свой собственный аккаунт, который является обычным пользователем, в качестве соавтора, как показанно на скриншоте ниже:
-
[Перевод] Угон сессий с помощью IDOR и XSS
Представьте себе платформу, предназначенную для обработки конфиденциальной информации — например, страховых заявлений или идентификации личности. Такие места часто превращаются в золотую жилу для атакующих. Именно на это я и наткнулся, исследуя функцию загрузки файлов на портале, связанном со страхованием. То, что начиналось как быстрая проверка, привело к обнаружению уязвимости межсайтового скриптинга (XSS), которая могла бы позволить массовый угон аккаунтов. Давайте разберёмся. Точка входа Система позволяла пользователям загружать файлы для резервного копирования своих форм — обычная функция для такой платформы. Вы загружаете файл, он связывается с референсным номером ( refNo ) (например, R2326400539 для пользователя, которого мы назовем Джон), и позже мы можем просмотреть его на отдельной странице: https://[redacted].com/xxx.asp?refNo= R2326400539 На первый взгляд ничего особенного. Но когда я заглянул в запрос на загрузку, то заметил параметр под названием fileUidList — строку, определяющую метаданные файла. Любопытство взяло верх: что если я изменю ее? Я создал запрос, внедрил XSS-пейлоад в fileUidList и связал его с действительным референсным номером, например, R2326400540 в параметре njfbRefNo . Сервер без колебаний принял мою изменённую загрузку. Поджигаем фитиль
-
[Перевод] Давайте поговорим о шифровании и IDOR (да, снова IDOR)
Представьте себе систему, предназначенную для защиты конфиденциальных данных пользователей (таких как страховые полисы), только такую, что один неверный шаг превратил ее в открытую книгу. Именно на это я и наткнулся, когда копался в одном сервисе защиты регистрации на мероприятия. То, что начиналось как любопытство к API, переросло в находку, которая может предоставить полный доступ к полису любого пользователя. Вот как это происходило, шаг за шагом, и почему это так важно... Находка: API с секретом Все началось с веб-сайта, на котором хранятся пользовательские полисы — думайте о нем как о цифровом сейфе для страховых планов. Во время исследования я обнаружил обращение к API: /api/claims/encrypt?text=EUSP2386411060 с моим страховым полисом (EUSP2386411060). Ответом было зашифрованное значение идентификатора моего полиса, знание которого дает доступ к моему полису. Короче говоря, если ваш страховой полис EUSP2386411061, я могу зашифровать его и получить доступ к вашим данным, поскольку зашифрованное значение используется для доступа к PDF-файлу, содержащему информацию о вашем полисе.
-
Начинаем в багбаунти: распродажа уязвимостей в Juice Shop, или Как искать простейшие баги в веб-приложениях
Привет, меня зовут Анна Куренова ( @SavAnna ), в IT я уже девять лет. Начинала как разработчик и тестировщик, потом начала искать уязвимости и перешла в ИБ. Сейчас работаю DevSecOps-инженером и веду телеграм-канал 8ug8eer . В этой статье поговорим о базовых вещах в вебе и некоторых простых уязвимостях, поиск которых под силу даже начинающим. Текст будет полезен новичкам в сфере безопасности и тестирования софта. Нашим подопытным станет магазин соков под незамысловатым названием Juice Shop. Это уже готовое приложение, которое работает на HTTP/1.1. Я развернула его на своем домене, который содержит множество уязвимостей и отлично подходит для обучения. Продолжим
https://habr.com/ru/companies/pt/articles/878360/
#cybersecurity #уязвимости_и_их_эксплуатация #багхантинг #багбаунти #juice_shop #burp_suite #stored_xss #idor #contenttype
-
[Перевод] IDOR в cookie-сессии, приводящий к массовому захвату аккаунтов
Если вы знакомы с концепцией IDOR (Insecure Direct Object Reference), то знаете, что эта уязвимость может быть где угодно: в URL, теле запроса, запросах GET или POST, а также в cookie . Я участвовал в одной приватной программе. начала, я начал изучать логику работы приложения. Обычно это дает возможность ( но не всегда ), обнаружить много уязвимостей. Именно это и произошло у меня … В итоге я занял место в рейтинге программы, сразу за несколькими известными хакерами. :)
-
Начинаем в багбаунти: доступно об уязвимостях типа Broken Access Control
Привет, меня зовут Александр (aka bytehope). Прежде чем прийти к багхантингу, я пять лет занимался коммерческой разработкой. Однако меня всегда больше интересовал поиск уязвимостей, поэтому сейчас свое свободное время я провожу на площадках багбаунти. Эту статью я решил посвятить уязвимостям, связанным с недостатками контроля прав (Broken Access Control). Вы узнаете, что это очень распространенный баг, который может проявляться самыми разными способами. Конечно, особый акцент будет сделан на практике: я покажу, как отловить четыре разных вида этой уязвимости в лабах Web Security Academy. Начнем с самых простых примеров, поэтому статья подойдет для начинающих охотников. Смело заглядывайте под кат! Начнем хантить баги?
https://habr.com/ru/companies/pt/articles/855148/
#багбаунти #пентест #standoff #broken_access_control #idor #uuid #доступ #взлом
-
[Перевод] IDOR: Полное руководство по продвинутой эксплуатации уязвимостей IDOR
Уязвимости IDOR (незащищённая прямая ссылка на объект) являются одними из наиболее часто встречающихся уязвимостей безопасности в современных веб-приложениях и API. Неудивительно, что они часто рекомендуются начинающим охотникам за уязвимостями, так как их легко обнаружить и эксплуатировать, и по своей природе они являются уязвимостями высокой степени опасности. В этой статье рассматривается способ, как выявить уязвимости IDOR и как их можно эксплуатировать. Также будут рассмотрены более сложные случаи. Начнём с определения уязвимостей IDOR.
-
Unit 42 discusses security concerns stemming from the dashboard snapshot APIs of Grafana, an open-source data visualization and monitoring tool. One vulnerability, a Broken Object-Level Authorization (BOLA) was assigned CVE ID CVE-2024-1313 (6.5 medium, disclosed 26 March 2024). The other, an endpoint that allows any Grafana user to create snapshot images and does not enforce complexity checks on the self-assigned secret keys, was not considered a vulnerability by Grafana. Unit 42 warns that successful exploitation could allow for denial-of-service (DoS) attacks or brute-force the weak secrets to view or delete snapshots belonging to other users. 🔗 https://unit42.paloaltonetworks.com/new-bola-vulnerability-grafana/