PENSEC - Vulnerabilidades Web - IDOR

Caçando Falhas de IDOR (Insecure Direct Object References) Por: Guilherme Hu IDOR é uma das vulnerabilidades de controle de acesso mais frequentes em APIs e sistemas web. Entenda como identificar e corrigir essa exposição de dados. Conteúdo do vídeo: 1. Explicação Teórica: O conceito de Broken Access Control e como a aplicação falha ao expor uma referência a um objeto interno (como um ID de banco de dados) sem validar a autorização do usuário. 2. Possíveis Impactos: Vazamento massivo de dados sensíveis, acesso a informações confidenciais de outros usuários e modificação ou exclusão não autorizada de registros. 3. Exemplo de Código Vulnerável: Uma query de banco de dados que busca um registro diretamente a partir de um parâmetro numérico fornecido na URL ou no corpo da requisição. 4. Demonstração Prática: Manipulação de requisições HTTP e iteração de IDs sequenciais para acessar faturas e dados de contas de terceiros. 5. Mitigação: Implementação de verificações de autorização rigorosas no nível do objeto (Access Control Checks) baseadas na sessão do usuário atual. Links e referências: https://portswigger.net/web-security/... https://cheatsheetseries.owasp.org/ch...   / idor-como-identificar-e-corrigir-esta-vuln...   https://infosecwriteups.com/broken-ob... #IDOR #AccessControl #BugBountyTips #Pentesting #WebSecurity