22d • Hacking
🔓 ¿Qué es una vulnerabilidad IDOR y por qué es tan peligrosa?
Hoy vamos a ver una de las vulnerabilidades más comunes y a la vez más infravaloradas en aplicaciones web: el famoso IDOR (Insecure Direct Object Reference).
Un IDOR ocurre cuando una aplicación permite acceder a recursos internos —como datos de usuario, archivos, tickets, facturas o endpoints sensibles— simplemente cambiando un identificador en la URL o en la petición.
En pocas palabras:Si puedes manipular id=123 por id=124 y acceder a información que no deberías, estás ante un IDOR.
Ejemplo rápido:
GET /api/user?id=103
Si cambias a:
GET /api/user?id=104
…y puedes ver datos de otra persona, entonces la aplicación no está validando correctamente los privilegios, solo confía en el número que tú le pones.
Esto, a nivel de seguridad, es un desastre.
¿Por qué pasa esto?
Porque los desarrolladores suelen validar que la solicitud está “correctamente formada”, pero no validan si realmente el usuario tiene permiso para ver ese recurso Es decir:Validan la forma, pero no la autoridad.
¿Qué puede provocar un IDOR?
- 🗂 Acceso a datos personales de otros usuarios
- 💸 Modificación de pedidos, facturas o pagos
- 🤯 Gestión de cuentas ajenas
- 🔥 Escalación horizontal o incluso vertical
- 🧨 Filtración masiva de información interna de la empresa
Este tipo de fallos ha aparecido en programas enormes como Meta, TikTok, Uber, Google… y ha generado recompensas de miles de dólares en bug bounty.
Si quieres ver cómo explotar un IDOR en entornos reales, cómo automatizar su detección y cómo reportarlo de forma profesional…
👉 Únete a Zhack Pro, mi comunidad y mentoría premium de hacking ético profesional:
2
0 comments
🔓 ¿Qué es una vulnerabilidad IDOR y por qué es tan peligrosa?
powered by
skool.com/zhack-free-6658
Domina el Hacking Ético y la Ciberseguridad
Comunidad pro https://www.skool.com/zhack-3722
Suggested communities
Powered by