SECURITY · CH4

IDOR

IDOR는 사용자가 요청의 객체 ID를 바꿨을 때 서버가 해당 객체 접근 권한을 확인하지 않아 발생합니다.

IDOR 구성 요소

인가 취약점
객체 식별자URL, 파라미터, JSON body에 주문번호나 사용자 ID가 들어갑니다.
ID 조작공격자가 다른 사용자의 객체 ID로 요청을 바꿉니다.
인가 누락서버가 객체 소유자나 권한을 확인하지 않습니다.
데이터 노출타인의 주문, 파일, 개인정보가 조회되거나 변경됩니다.

IDOR 진행 순서

객체 권한 확인
요청 ID123 → 124
인가 검사소유자 확인
결과허용·차단
대응

모든 객체 접근마다 서버에서 현재 사용자와 객체 소유자 또는 권한 관계를 검증해야 합니다.