IDOR Check
객체 식별자를 바꿨을 때 타인 자원이 보이면 서버 소유자 검증 실패다
IDOR 답안은 요청 파라미터, 객체 소유자, 서버 권한 검증, 대응 통제를
같은 순서로 설명한다.
01
식별자 노출
URL이나 요청 값에
id=100 같은 객체 번호가 보인다.
02
값 조작
사용자가 번호를 바꿔 다른 사람의 자원을 요청한다.
03
검증 누락
서버가 요청자와 객체 소유자가 같은지 확인하지 않는다.
04
정보 노출
프로필, 주문, 파일, 결제 내역 같은 타인 정보가 반환된다.
근본 대응
모든 객체 조회·수정 API에서 소유자와 역할을 서버에서 확인한다.
보조 통제
예측 가능한 순번 대신 간접 식별자와 접근 로그를 함께 쓴다.
오답 경계
화면에서 링크를 숨기는 것은 서버 권한 검증을 대신하지 못한다.