En este video te voy a explicar qué es, cómo funciona y su explotación en un laboratorio práctico.
Quédate hasta el final, porque entender IDOR te puede ahorrar millones… o ganarlos si sabes reportarlo bien.
Como siempre, lo primero es entender el término.
IDOR es una vulnerabilidad web que ocurre cuando una aplicación permite el acceso directo a objetos internos como archivos, registros o identificadores de usuarios, sin verificar adecuadamente si el usuario tiene autorización para hacerlo. Esta vulnerabilidad es común en aplicaciones que utilizan parámetros en la URL o en formularios para identificar recursos. Si no se implementan controles de acceso, un atacante puede manipular esos parámetros para acceder a datos de otros usuarios. IDOR, forma parte de la vulnerabilidad Broken access control o control de acceso roto. Una de las vulnerabilidades web más comunes y críticas.
Y no es de extrañar, porque…
IDOR permite a un atacante acceder a información o funciones que no debería poder ver o ejecutar, simplemente cambiando el valor de un identificador en una solicitud. Por ejemplo, si un usuario autenticado puede acceder a sus facturas mediante una URL como /factura/1001, un atacante podría probar con /factura/1002 y ver la factura de otro usuario si no hay control de autorización.
Una plataforma permite ver el perfil de usuario mediante una URL como:
https://rinku[.]tech/perfil?usuario_id=1023
Si la aplicación no valida que el usuario actual tiene permiso para ver ese perfil, un atacante puede cambiar el valor del parámetro usuario_id a otro número (usuario_id=1024, usuario_id=1025, etc.) y acceder a los perfiles de otros usuarios. Esto puede revelar información personal como nombre, correo, dirección o incluso datos bancarios, dependiendo del sistema.
Una aplicación de almacenamiento permite descargar archivos mediante una URL como:
https://rinku[.]tech/descargar?archivo_id=789
Si no hay una validación en el backend que compruebe que ese archivo pertenece al usuario actual, basta con modificar el archivo_id para acceder a documentos de otras personas. Esto es especialmente grave si se trata de contratos, identificaciones, recibos o cualquier documento sensible.
En una tienda online un usuario puede ver el estado de su pedido con una URL como:
https://tienda[.]com/pedido?pedido_id=5566
Un atacante puede modificar el valor del parámetro y obtener información de otros pedidos —como direcciones de envío, productos comprados o datos de facturación—. En algunos casos mal implementados, incluso puede modificar o cancelar pedidos de otros usuarios.
IDOR puede ser una vulnerabilidad crítica porque su explotación es simple y sus consecuencias pueden ser devastadoras. A diferencia de otras vulnerabilidades más técnicas, un atacante no necesita herramientas sofisticadas para llevar a cabo un ataque IDOR. Basta con observar cómo se estructuran los parámetros y probar diferentes valores. Esta facilidad de explotación, combinada con la posibilidad de acceder a datos sensibles como información personal, financiera o médica, hace que esta vulnerabilidad represente un riesgo significativo para la seguridad de aplicaciones web.
En muchas ocasiones, se confía en la interfaz de usuario o en métodos superficiales de validación, lo que deja la lógica del servidor expuesta. Su persistencia en el OWASP Top Ten demuestra que sigue siendo una de las vulnerabilidades más comunes y peligrosas en aplicaciones web.
Únete a CiberInsider y prepárate para dar el primer paso a conseguir tu empleo en ciberseguridad
Al suscribirte, aceptas la política de privacidad de rinku.tech y recibir noticias, contenidos, comunicaciones relacionados con la web, gratuitos y premium.
