#idor — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #idor, aggregated by home.social.
-
Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров
Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья - попытка честно сравнить два мира, найти точки пересечения и разобраться, почему одни проблемы одинаковые, а другие - принципиально разные. Исходные данные: OWASP Top 10 Web 2025 , OWASP Mobile Top 10 2024 , статистика NVD/CVE-базы, данные реальных пентестов, IBM Cost of a Data Breach 2024 .
https://habr.com/ru/articles/1035592/
#owasp_top_10 #безопасность_вебприложений #безопасность_мобильных_приложений #supply_chain #Certificate_Pinning #idor #secure_coding #devsecops #уязвимости
-
Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров
Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья - попытка честно сравнить два мира, найти точки пересечения и разобраться, почему одни проблемы одинаковые, а другие - принципиально разные. Исходные данные: OWASP Top 10 Web 2025 , OWASP Mobile Top 10 2024 , статистика NVD/CVE-базы, данные реальных пентестов, IBM Cost of a Data Breach 2024 .
https://habr.com/ru/articles/1035592/
#owasp_top_10 #безопасность_вебприложений #безопасность_мобильных_приложений #supply_chain #Certificate_Pinning #idor #secure_coding #devsecops #уязвимости
-
Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров
Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья - попытка честно сравнить два мира, найти точки пересечения и разобраться, почему одни проблемы одинаковые, а другие - принципиально разные. Исходные данные: OWASP Top 10 Web 2025 , OWASP Mobile Top 10 2024 , статистика NVD/CVE-базы, данные реальных пентестов, IBM Cost of a Data Breach 2024 .
https://habr.com/ru/articles/1035592/
#owasp_top_10 #безопасность_вебприложений #безопасность_мобильных_приложений #supply_chain #Certificate_Pinning #idor #secure_coding #devsecops #уязвимости
-
Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров
Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья - попытка честно сравнить два мира, найти точки пересечения и разобраться, почему одни проблемы одинаковые, а другие - принципиально разные. Исходные данные: OWASP Top 10 Web 2025 , OWASP Mobile Top 10 2024 , статистика NVD/CVE-базы, данные реальных пентестов, IBM Cost of a Data Breach 2024 .
https://habr.com/ru/articles/1035592/
#owasp_top_10 #безопасность_вебприложений #безопасность_мобильных_приложений #supply_chain #Certificate_Pinning #idor #secure_coding #devsecops #уязвимости
-
Wayback Machine как архив IDOR: как временные ссылки перестали быть временными
В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.
https://habr.com/ru/articles/1035516/
#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365
-
Wayback Machine как архив IDOR: как временные ссылки перестали быть временными
В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.
https://habr.com/ru/articles/1035516/
#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365
-
Wayback Machine как архив IDOR: как временные ссылки перестали быть временными
В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.
https://habr.com/ru/articles/1035516/
#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365
-
Wayback Machine как архив IDOR: как временные ссылки перестали быть временными
В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.
https://habr.com/ru/articles/1035516/
#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365
-
https://www.europesays.com/pl/434346/ Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)… #ai #BugBounty #hackerone #IDOR #Nauka #NaukaITechnika #NaukaTechnika #PL #Poland #Polish #Polska #Polski #Science #ScienceAndTechnology #ScienceTechnology #Technika #Technology #websec
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему
Друг скидывает ссылку на очередной российский дейтинг-бот, ты решаешь пробежаться по DevTools “вспомнить старое”, и через 5 минут понимаешь, что попал в Матрицу: сервис, где создана иллюзия безопасности, а на самом деле — она мнимая и поддерживается документами, а не кодом. С минимальным тулкитом ты находишь 4 High уязвимости и полноценную утечку данных пользователей. Подробная история о том, как простой багхантинг превратился в масштабное расследование для проекта с 180 тысячами ежемесячных пользователей.
https://habr.com/ru/articles/1030936/
#IDOR #PHPSESSID #Mimolet_уязвимость #S3_публичный_бакет #скрейпинг #OWASP_API_Top_10 #Broken_Authentication #утечка_данных #недостатки_безопасности #приватность
-
180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему
Друг скидывает ссылку на очередной российский дейтинг-бот, ты решаешь пробежаться по DevTools “вспомнить старое”, и через 5 минут понимаешь, что попал в Матрицу: сервис, где создана иллюзия безопасности, а на самом деле — она мнимая и поддерживается документами, а не кодом. С минимальным тулкитом ты находишь 4 High уязвимости и полноценную утечку данных пользователей. Подробная история о том, как простой багхантинг превратился в масштабное расследование для проекта с 180 тысячами ежемесячных пользователей.
https://habr.com/ru/articles/1030936/
#IDOR #PHPSESSID #Mimolet_уязвимость #S3_публичный_бакет #скрейпинг #OWASP_API_Top_10 #Broken_Authentication #утечка_данных #недостатки_безопасности #приватность
-
180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему
Друг скидывает ссылку на очередной российский дейтинг-бот, ты решаешь пробежаться по DevTools “вспомнить старое”, и через 5 минут понимаешь, что попал в Матрицу: сервис, где создана иллюзия безопасности, а на самом деле — она мнимая и поддерживается документами, а не кодом. С минимальным тулкитом ты находишь 4 High уязвимости и полноценную утечку данных пользователей. Подробная история о том, как простой багхантинг превратился в масштабное расследование для проекта с 180 тысячами ежемесячных пользователей.
https://habr.com/ru/articles/1030936/
#IDOR #PHPSESSID #Mimolet_уязвимость #S3_публичный_бакет #скрейпинг #OWASP_API_Top_10 #Broken_Authentication #утечка_данных #недостатки_безопасности #приватность
-
180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему
Друг скидывает ссылку на очередной российский дейтинг-бот, ты решаешь пробежаться по DevTools “вспомнить старое”, и через 5 минут понимаешь, что попал в Матрицу: сервис, где создана иллюзия безопасности, а на самом деле — она мнимая и поддерживается документами, а не кодом. С минимальным тулкитом ты находишь 4 High уязвимости и полноценную утечку данных пользователей. Подробная история о том, как простой багхантинг превратился в масштабное расследование для проекта с 180 тысячами ежемесячных пользователей.
https://habr.com/ru/articles/1030936/
#IDOR #PHPSESSID #Mimolet_уязвимость #S3_публичный_бакет #скрейпинг #OWASP_API_Top_10 #Broken_Authentication #утечка_данных #недостатки_безопасности #приватность
-
"Insecure direct object references #IDOR are a type of access control
#vulnerability that arises when an application uses user-supplied input to
access objects directly." #INFOSEC
You mean #S3 buckets left lying around by Jeffrey #Epstein ? How embarassing. -
Violazione ANTS: un banale difetto IDOR espone 19 milioni di identità francesi in vendita sul dark web
L'Agence Nationale des Titres Sécurisés (ANTS), il portale governativo francese per passaporti, carte d'identità e patenti, è stata violata il 15 aprile 2026. Un attore di minaccia noto come 'breach3d' afferma di aver esfiltrato fino a 19 milioni di record di cittadini francesi sfruttando una vulnerabilità IDOR sull'API del portale, mettendo in vendita i dati su forum underground. -
Violazione ANTS: un banale difetto IDOR espone 19 milioni di identità francesi in vendita sul dark web
L'Agence Nationale des Titres Sécurisés (ANTS), il portale governativo francese per passaporti, carte d'identità e patenti, è stata violata il 15 aprile 2026. Un attore di minaccia noto come 'breach3d' afferma di aver esfiltrato fino a 19 milioni di record di cittadini francesi sfruttando una vulnerabilità IDOR sull'API del portale, mettendo in vendita i dati su forum underground. -
Violazione ANTS: un banale difetto IDOR espone 19 milioni di identità francesi in vendita sul dark web
L'Agence Nationale des Titres Sécurisés (ANTS), il portale governativo francese per passaporti, carte d'identità e patenti, è stata violata il 15 aprile 2026. Un attore di minaccia noto come 'breach3d' afferma di aver esfiltrato fino a 19 milioni di record di cittadini francesi sfruttando una vulnerabilità IDOR sull'API del portale, mettendo in vendita i dati su forum underground. -
Violazione ANTS: un banale difetto IDOR espone 19 milioni di identità francesi in vendita sul dark web
L'Agence Nationale des Titres Sécurisés (ANTS), il portale governativo francese per passaporti, carte d'identità e patenti, è stata violata il 15 aprile 2026. Un attore di minaccia noto come 'breach3d' afferma di aver esfiltrato fino a 19 milioni di record di cittadini francesi sfruttando una vulnerabilità IDOR sull'API del portale, mettendo in vendita i dati su forum underground. -
Violazione ANTS: un banale difetto IDOR espone 19 milioni di identità francesi in vendita sul dark web
L'Agence Nationale des Titres Sécurisés (ANTS), il portale governativo francese per passaporti, carte d'identità e patenti, è stata violata il 15 aprile 2026. Un attore di minaccia noto come 'breach3d' afferma di aver esfiltrato fino a 19 milioni di record di cittadini francesi sfruttando una vulnerabilità IDOR sull'API del portale, mettendo in vendita i dati su forum underground. -
📰 RCI Hospitality Data Breach Exposes Sensitive Information of Contractors
RCI Hospitality Holdings discloses a data breach exposing contractor PII, including SSNs. ‼️ The breach was caused by an Insecure Direct Object Reference (IDOR) vulnerability on a web server. #DataBreach #IDOR #Vulnerability
-
Уязвимости в мессенджере MAX
С момента запуска программы Bug Bounty в июле 2025 года в системе накопилось уже 454 отчёта, из которых признаны валидными 288. Это не просто «рабочий процесс», а показатель
https://enep-home.ru/2026/04/13/%d1%83%d1%8f%d0%b7%d0%b2%d0%b8%d0%bc%d0%be%d1%81%d1%82%d0%b8-%d0%b2-%d0%bc%d0%b5%d1%81%d1%81%d0%b5%d0%bd%d0%b4%d0%b6%d0%b5%d1%80%d0%b5-max/ -
Уязвимости в мессенджере MAX
С момента запуска программы Bug Bounty в июле 2025 года в системе накопилось уже 454 отчёта, из которых признаны валидными 288. Это не просто «рабочий процесс», а показатель
https://enep-home.ru/2026/04/13/%d1%83%d1%8f%d0%b7%d0%b2%d0%b8%d0%bc%d0%be%d1%81%d1%82%d0%b8-%d0%b2-%d0%bc%d0%b5%d1%81%d1%81%d0%b5%d0%bd%d0%b4%d0%b6%d0%b5%d1%80%d0%b5-max/ -
Уязвимости в мессенджере MAX
С момента запуска программы Bug Bounty в июле 2025 года в системе накопилось уже 454 отчёта, из которых признаны валидными 288. Это не просто «рабочий процесс», а показатель
https://enep-home.ru/2026/04/13/%d1%83%d1%8f%d0%b7%d0%b2%d0%b8%d0%bc%d0%be%d1%81%d1%82%d0%b8-%d0%b2-%d0%bc%d0%b5%d1%81%d1%81%d0%b5%d0%bd%d0%b4%d0%b6%d0%b5%d1%80%d0%b5-max/ -
🛑 CVE-2026-3124: HIGH-severity IDOR in wpchill Download Monitor (all versions) lets unauth attackers finalize orders by reusing PayPal tokens — digital goods can be stolen. Patch or apply strict validation ASAP! https://radar.offseq.com/threat/cve-2026-3124-cwe-639-authorization-bypass-through-6397300c #OffSeq #WordPress #Vulnerability #IDOR
-
🛑 CVE-2026-3124: HIGH-severity IDOR in wpchill Download Monitor (all versions) lets unauth attackers finalize orders by reusing PayPal tokens — digital goods can be stolen. Patch or apply strict validation ASAP! https://radar.offseq.com/threat/cve-2026-3124-cwe-639-authorization-bypass-through-6397300c #OffSeq #WordPress #Vulnerability #IDOR
-
🛑 CVE-2026-3124: HIGH-severity IDOR in wpchill Download Monitor (all versions) lets unauth attackers finalize orders by reusing PayPal tokens — digital goods can be stolen. Patch or apply strict validation ASAP! https://radar.offseq.com/threat/cve-2026-3124-cwe-639-authorization-bypass-through-6397300c #OffSeq #WordPress #Vulnerability #IDOR
-
🛑 CVE-2026-3124: HIGH-severity IDOR in wpchill Download Monitor (all versions) lets unauth attackers finalize orders by reusing PayPal tokens — digital goods can be stolen. Patch or apply strict validation ASAP! https://radar.offseq.com/threat/cve-2026-3124-cwe-639-authorization-bypass-through-6397300c #OffSeq #WordPress #Vulnerability #IDOR
-
🚨 CVE-2026-0562 (HIGH, CVSS 8.3) in parisneo/lollms ≤2.2.0: Authenticated users can accept/reject others' friend requests via IDOR in /api/friends/requests/{friendship_id}. Upgrade to 2.2.0+ and audit API auth now! https://radar.offseq.com/threat/cve-2026-0562-cwe-863-incorrect-authorization-in-p-77e45474 #OffSeq #CVE20260562 #IDOR #AppSec
-
🚨 CVE-2026-0562 (HIGH, CVSS 8.3) in parisneo/lollms ≤2.2.0: Authenticated users can accept/reject others' friend requests via IDOR in /api/friends/requests/{friendship_id}. Upgrade to 2.2.0+ and audit API auth now! https://radar.offseq.com/threat/cve-2026-0562-cwe-863-incorrect-authorization-in-p-77e45474 #OffSeq #CVE20260562 #IDOR #AppSec
-
🚨 CVE-2026-0562 (HIGH, CVSS 8.3) in parisneo/lollms ≤2.2.0: Authenticated users can accept/reject others' friend requests via IDOR in /api/friends/requests/{friendship_id}. Upgrade to 2.2.0+ and audit API auth now! https://radar.offseq.com/threat/cve-2026-0562-cwe-863-incorrect-authorization-in-p-77e45474 #OffSeq #CVE20260562 #IDOR #AppSec
-
🚨 CVE-2026-0562 (HIGH, CVSS 8.3) in parisneo/lollms ≤2.2.0: Authenticated users can accept/reject others' friend requests via IDOR in /api/friends/requests/{friendship_id}. Upgrade to 2.2.0+ and audit API auth now! https://radar.offseq.com/threat/cve-2026-0562-cwe-863-incorrect-authorization-in-p-77e45474 #OffSeq #CVE20260562 #IDOR #AppSec
-
How I Found a Critical IDOR Leading to Account Takeover in Two EdTech Platforms
The vulnerability was an Insecure Direct Object Reference (IDOR) in two EdTech platforms, allowing account takeover through user profile manipulation. The flaw resulted from improper input validation, leading to user profiles being accessible via URL parameters. By constructing carefully crafted URLs containing other users' IDs, the researcher accessed their profiles without proper authentication. The attack vector involved using Burp Suite's Intruder tool to automate IDOR requests, sending payloads with incremental user IDs. The mechanism revolved around the application trusting the provided IDs without verifying their ownership or performing proper authorization checks. This IDOR flaw enabled the researcher to impersonate other users, potentially causing serious account takeovers. The researcher did not disclose specific bounty amounts or program responses. Proper mitigation requires implementing strict input validation and enforcing proper access control checks. Key lesson: Always validate user inputs and enforce proper access control to prevent unauthorized data access. #BugBounty #Cybersecurity #WebSecurity #IDOR #AccountTakeover #InputValidation -
How I Found a Critical IDOR Leading to Account Takeover in Two EdTech Platforms
The vulnerability was an Insecure Direct Object Reference (IDOR) in two EdTech platforms, allowing account takeover through user profile manipulation. The flaw resulted from improper input validation, leading to user profiles being accessible via URL parameters. By constructing carefully crafted URLs containing other users' IDs, the researcher accessed their profiles without proper authentication. The attack vector involved using Burp Suite's Intruder tool to automate IDOR requests, sending payloads with incremental user IDs. The mechanism revolved around the application trusting the provided IDs without verifying their ownership or performing proper authorization checks. This IDOR flaw enabled the researcher to impersonate other users, potentially causing serious account takeovers. The researcher did not disclose specific bounty amounts or program responses. Proper mitigation requires implementing strict input validation and enforcing proper access control checks. Key lesson: Always validate user inputs and enforce proper access control to prevent unauthorized data access. #BugBounty #Cybersecurity #WebSecurity #IDOR #AccountTakeover #InputValidation -
Fantastic Demos of Web Hacking featuring bug bounty hunter Justin Gardner!
Learn about IDOR, XSS and more.
YouTube video: https://youtu.be/KBIQE9fo8mU
Big thanks to ThreatLocker for sponsoring my trip to ZTW26 and also for sponsoring this video.
-
Fantastic Demos of Web Hacking featuring bug bounty hunter Justin Gardner!
Learn about IDOR, XSS and more.
YouTube video: https://youtu.be/KBIQE9fo8mU
Big thanks to ThreatLocker for sponsoring my trip to ZTW26 and also for sponsoring this video.
-
Fantastic Demos of Web Hacking featuring bug bounty hunter Justin Gardner!
Learn about IDOR, XSS and more.
YouTube video: https://youtu.be/KBIQE9fo8mU
Big thanks to ThreatLocker for sponsoring my trip to ZTW26 and also for sponsoring this video.
-
Fantastic Demos of Web Hacking featuring bug bounty hunter Justin Gardner!
Learn about IDOR, XSS and more.
YouTube video: https://youtu.be/KBIQE9fo8mU
Big thanks to ThreatLocker for sponsoring my trip to ZTW26 and also for sponsoring this video.
-
Fantastic Demos of Web Hacking featuring bug bounty hunter Justin Gardner!
Learn about IDOR, XSS and more.
YouTube video: https://youtu.be/KBIQE9fo8mU
Big thanks to ThreatLocker for sponsoring my trip to ZTW26 and also for sponsoring this video.
-
OWASP Juice Shop — BOLA: Unauthorized Basket Access | Security Assessment Finding
This vulnerability is an Insecure Direct Object References (IDOR) issue. The root cause was a flawed implementation in the OWASP Juice Shop application, which allowed access to other users' shopping baskets through manipulating the URL's basket ID parameter. A malicious user could view, modify, or delete another user's shopping basket without proper authorization. The researcher discovered this by observing a predictable pattern in the URL structure of basket IDs. The attack vector involved simply modifying the basket ID parameter in the URL, leading to unauthorized access to other users' baskets. The application logic was based on trusting the user-controlled basket ID parameter, without any validation or access control checks. This vulnerability could potentially lead to data breaches, unauthorized purchases, or account takeovers. The researcher was awarded a bounty of $200 for the finding. To remediate, enforce access controls and implement proper validation for basket IDs before making sensitive operations. Key lesson: Always validate user inputs and enforce proper access controls. #BugBounty #WebSecurity #IDOR #DataBreach #Infosec -
OWASP Juice Shop — BOLA: Unauthorized Basket Access | Security Assessment Finding
This vulnerability is an Insecure Direct Object References (IDOR) issue. The root cause was a flawed implementation in the OWASP Juice Shop application, which allowed access to other users' shopping baskets through manipulating the URL's basket ID parameter. A malicious user could view, modify, or delete another user's shopping basket without proper authorization. The researcher discovered this by observing a predictable pattern in the URL structure of basket IDs. The attack vector involved simply modifying the basket ID parameter in the URL, leading to unauthorized access to other users' baskets. The application logic was based on trusting the user-controlled basket ID parameter, without any validation or access control checks. This vulnerability could potentially lead to data breaches, unauthorized purchases, or account takeovers. The researcher was awarded a bounty of $200 for the finding. To remediate, enforce access controls and implement proper validation for basket IDs before making sensitive operations. Key lesson: Always validate user inputs and enforce proper access controls. #BugBounty #WebSecurity #IDOR #DataBreach #Infosec -
IDOR Mastery: From Basic ID Changes to Advanced Techniques That Pay $10K+ Bounties
This article details Insecure Direct Object Reference (IDOR) exploitation techniques, some resulting in $10,000+ bug bounty payouts. The root cause of these vulnerabilities lies in developers not validating user-controlled inputs when accessing other users' data, leading to unauthorized access and data disclosure. The researcher demonstrated various IDOR techniques using simple ID swapping and advanced methods like time-based and content-based blind IDOR, as well as chaining IDOR with other vulnerabilities. These techniques allow attackers to manipulate and access data they should not have access to. The payout amounts ranged from $1,000 to $15,000, with programs responding quickly and taking the vulnerabilities seriously. Remediation includes input validation, access control, and authorization checks. Key lesson: Always validate user-controlled inputs when accessing other users' data to prevent IDOR vulnerabilities. #BugBounty #WebSecurity #IDOR #Cybersecurity #InputValidation -
IDOR Mastery: From Basic ID Changes to Advanced Techniques That Pay $10K+ Bounties
This article details Insecure Direct Object Reference (IDOR) exploitation techniques, some resulting in $10,000+ bug bounty payouts. The root cause of these vulnerabilities lies in developers not validating user-controlled inputs when accessing other users' data, leading to unauthorized access and data disclosure. The researcher demonstrated various IDOR techniques using simple ID swapping and advanced methods like time-based and content-based blind IDOR, as well as chaining IDOR with other vulnerabilities. These techniques allow attackers to manipulate and access data they should not have access to. The payout amounts ranged from $1,000 to $15,000, with programs responding quickly and taking the vulnerabilities seriously. Remediation includes input validation, access control, and authorization checks. Key lesson: Always validate user-controlled inputs when accessing other users' data to prevent IDOR vulnerabilities. #BugBounty #WebSecurity #IDOR #Cybersecurity #InputValidation -
Chaining IDOR to Admin Panel Takeover to SQLI
This article details a series of vulnerabilities: IDOR (Insecure Direct Object Reference), unauthorized access to admin panel, and SQL Injection. The root cause lay in a lack of access control checks on user-supplied input, allowing an attacker to manipulate another user's referral data via IDOR. By chaining multiple IDORs, the researcher gained access to the admin panel. Within the admin panel, an SQL Injection vulnerability enabled the attacker to execute arbitrary SQL queries, leading to unauthorized data access and potential data breaches. The attack vector involved crafting specific referral IDs to exploit the IDOR and manipulate account data, eventually gaining access to the admin panel and executing SQL Injection payloads. The impact was significant, as it allowed full control over the application's data and configuration. The researcher received a $5000 bounty. To fix this, implement proper access control checks on user-supplied input, sanitize and validate all input data, and use parameterized queries to prevent SQL Injection attacks. Key lesson: Always validate and sanitize user input and implement least privilege access controls. #BugBounty #IDOR #SQLInjection #WebSecurity #AdminPanelTakeover -
Chaining IDOR to Admin Panel Takeover to SQLI
This article details a series of vulnerabilities: IDOR (Insecure Direct Object Reference), unauthorized access to admin panel, and SQL Injection. The root cause lay in a lack of access control checks on user-supplied input, allowing an attacker to manipulate another user's referral data via IDOR. By chaining multiple IDORs, the researcher gained access to the admin panel. Within the admin panel, an SQL Injection vulnerability enabled the attacker to execute arbitrary SQL queries, leading to unauthorized data access and potential data breaches. The attack vector involved crafting specific referral IDs to exploit the IDOR and manipulate account data, eventually gaining access to the admin panel and executing SQL Injection payloads. The impact was significant, as it allowed full control over the application's data and configuration. The researcher received a $5000 bounty. To fix this, implement proper access control checks on user-supplied input, sanitize and validate all input data, and use parameterized queries to prevent SQL Injection attacks. Key lesson: Always validate and sanitize user input and implement least privilege access controls. #BugBounty #IDOR #SQLInjection #WebSecurity #AdminPanelTakeover -
Ravenna Hub IDOR flaw exposed 1.6M+ student records.
Authenticated users could access unauthorized profiles via URL manipulation.
Sensitive child & parent PII impacted.
How should EdTech strengthen auth controls?