Vulnerabilidad IDOR

Resumen: La vulnerabilidad IDOR trata de conseguir ver o acceder a objetos a los que no deberíamos.

Nota: El laboratorio es de Portswigger

Procedimiento

En este labnoratorio la vulnerabilidad esta en el live chat que tiene implementado desde el cual podemos enviar mensajes y descargar nuestro nuestras conversaciones.Tenemos que manipular la petición para poder descargar el char de otro usuario.

Vemos que nuestra conversación tiene el id 2 y es un arcchivo de texto. Vamos a interceptar la perición.

Vemos en Burpsuite el campo donde se envía el número de conversación.

Ahora solo tenemos que cambiar ese número en Burp y enviar la petición, así se descargará el chat de otro usuario.