IDOR (Insecure Direct Object Reference) — это уязвимость, при которой приложение напрямую ссылается на внутренние объекты (например, файлы, записи в базе данных) через идентификаторы, не проверяя права доступа пользователя.

Пример: URL /user/profile?userId=123 позволяет получить профиль пользователя с ID 123. Если злоумышленник изменит userId на другой, он может получить чужие данные.

Как защититься от IDOR:

Всегда проверять права доступа пользователя к запрашиваемому объекту на сервере.
Использовать непрозрачные идентификаторы (например, UUID или хеши), чтобы усложнить угадывание.
Применять уровни авторизации и аутентификации.
Минимизировать передачу идентификаторов в клиентской части, если это возможно.

Таким образом, ключ — это строгая проверка доступа и избегание прямых ссылок на внутренние объекты без контроля.

Что такое IDOR (Insecure Direct Object Reference) и как от него защититься?