Day 05
Day 05|Access Control / IDOR
昨日複習
Day 04|Username Enumeration 使用者名稱列舉
The application allows attackers to determine whether a username exists.
正確答案 B. 應用程式允許攻擊者判斷使用者名稱是否存在
這句在描述:Username Enumeration(使用者名稱列舉)
看完整 Day 04 →今日句子
The application does not properly restrict access to other users’ resources.
中文意思
應用程式沒有正確限制對其他使用者資源的存取。
這句在說什麼資安問題
Broken Access Control / IDOR(存取控制失當)
描述應用程式沒有檢查資源是否屬於當前使用者。當攻擊者只要改 URL 或參數裡的 ID 就能存取別人的資料時,就是典型的 IDOR。
- 使用者 A 登入後,原本只能看自己的訂單,但只要改網址裡的 id,就可以看到使用者 B 的訂單
重點單字
| 英文 | 中文 |
|---|---|
| does not properly | 沒有正確地 |
| restrict access | 限制存取 |
| other users’ resources | 其他使用者的資源 |
練習題
The user can access another user’s invoice by changing the invoice ID in the URL.
💡 改 URL 裡的 invoice ID 就能存取別人的資源,這是典型的 IDOR(Insecure Direct Object Reference)。