← 回到練習列表 加入 LINE 社群
Day 05

Day 05|Access Control / IDOR

昨日複習

Day 04|Username Enumeration 使用者名稱列舉

The application allows attackers to determine whether a username exists.

正確答案 B. 應用程式允許攻擊者判斷使用者名稱是否存在

這句在描述:Username Enumeration(使用者名稱列舉)

看完整 Day 04 →

今日句子

The application does not properly restrict access to other users’ resources.

中文意思

應用程式沒有正確限制對其他使用者資源的存取。

這句在說什麼資安問題

Broken Access Control / IDOR(存取控制失當)

描述應用程式沒有檢查資源是否屬於當前使用者。當攻擊者只要改 URL 或參數裡的 ID 就能存取別人的資料時,就是典型的 IDOR。

  • 使用者 A 登入後,原本只能看自己的訂單,但只要改網址裡的 id,就可以看到使用者 B 的訂單

重點單字

英文中文
does not properly 沒有正確地
restrict access 限制存取
other users’ resources 其他使用者的資源

練習題

The user can access another user’s invoice by changing the invoice ID in the URL.

ASQL Injection
BUsername Enumeration
CIDOR
DCross-Site Scripting
💡 改 URL 裡的 invoice ID 就能存取別人的資源,這是典型的 IDOR(Insecure Direct Object Reference)。