Icône du lab

IDOR Explorer

🔐 Pouvez-vous accéder à des fichiers qui ne vous sont pas destinés ?

Défi Mis à jour le 21 juin 2026 Solution (Pro)
IDOR Parameter Manipulation Web Application Security Authorization Bypass

Ce système de gestion documentaire sécurisé pense pouvoir protéger les fichiers sensibles avec de simples numéros de référence. 📁 Mais les chercheurs en sécurité expérimentés savent que les références directes aux objets peuvent être manipulées pour accéder à des ressources non autorisées ! 🕵️ Maîtrisez l'art de la manipulation de paramètres et découvrez comment des applications apparemment sécurisées peuvent divulguer des informations sensibles à travers des schémas prévisibles. 🎯

1
Flags
50
XP
100%
Taux de Réussite

Insecure Direct Object Reference (IDOR) est l'une des vulnérabilités d'applications web les plus répandues et les plus impactantes. Une vulnérabilité IDOR survient lorsqu'une application expose des objets d'implémentation internes - tels que des identifiants de base de données, des noms de fichiers ou des identifiants utilisateur - à travers des URLs, des champs de formulaire ou des paramètres d'API, et ne vérifie pas que l'utilisateur demandeur est autorisé à accéder à la ressource référencée. Cela permet aux attaquants d'accéder aux données d'autres utilisateurs simplement en modifiant une valeur de paramètre.

Comprendre la vulnérabilité IDOR

Considérez un système de gestion documentaire où les fichiers sont accessibles via une URL comme /files?id=123. Si l'application sert le fichier uniquement sur la base du paramètre ID sans vérifier si l'utilisateur actuel possède ou a la permission de voir ce document, un attaquant peut incrémenter l'ID pour accéder aux fichiers appartenant à d'autres utilisateurs. Ce défaut fondamental d'autorisation - faire confiance aux références fournies par l'utilisateur sans contrôles d'accès côté serveur - est au coeur de chaque vulnérabilité IDOR.

Où apparaissent les vulnérabilités IDOR

Les failles IDOR se trouvent dans pratiquement tous les types d'applications web. Les emplacements courants incluent les pages de profil utilisateur (changer les identifiants utilisateur pour voir d'autres profils), les systèmes de commandes et de factures (accéder aux commandes d'autres clients), la gestion de documents et de fichiers (télécharger des fichiers non autorisés), les endpoints API (récupérer les données d'autres utilisateurs via des appels REST ou GraphQL), et les fonctions administratives (accéder à des ressources de configuration ou de gestion en devinant les identifiants). Le Top 10 OWASP classe systématiquement le contrôle d'accès défaillant - la catégorie englobant IDOR - comme l'un des risques de sécurité les plus critiques des applications web.

Techniques d'exploitation

Les attaquants exploitent les vulnérabilités IDOR par la manipulation systématique des paramètres. Cela inclut l'énumération séquentielle (incrémenter les identifiants numériques), l'analyse de motifs (prédire les formats UUID ou hash), la navigation forcée (accéder directement aux URLs de ressources) et le fuzzing d'API (tester les endpoints avec différentes valeurs de référence). Les outils de proxy modernes comme Burp Suite permettent des tests efficaces en interceptant et modifiant les requêtes en temps réel, permettant aux chercheurs en sécurité d'identifier rapidement les lacunes d'autorisation.

Prévention et défense

Prévenir les IDOR nécessite la mise en oeuvre de contrôles d'autorisation appropriés sur chaque requête qui accède à une ressource. Les applications doivent vérifier que l'utilisateur authentifié a la permission d'accéder à l'objet spécifique demandé, utiliser des cartes de références indirectes qui traduisent les identifiants visibles par l'utilisateur en références internes, implémenter des politiques de contrôle d'accès cohérentes sur tous les endpoints, et journaliser les tentatives d'accès non autorisées pour la surveillance. Comprendre IDOR du point de vue de l'attaquant aide les développeurs à construire des systèmes d'autorisation plus robustes.

Ce que vous apprendrez

  • Comment les vulnérabilités IDOR permettent l'accès non autorisé aux données utilisateur
  • Techniques de découverte et d'exploitation des références directes aux objets
  • Utilisation de la manipulation de paramètres pour énumérer les ressources cachées
  • Compréhension de la relation entre IDOR et le contrôle d'accès défaillant
  • Mise en oeuvre de contrôles d'autorisation appropriés pour prévenir les attaques IDOR

Prérequis

Basic web application concepts HTTP requests and parameters Understanding of authentication vs authorization

Prêt à hacker ce lab ?

Créez un compte gratuit et pratiquez la cybersécurité.

Commencer - C'est gratuit
Commencez Votre Défi
~1-2 min de configuration
Serveur dédié
Instance privée
Puissance standard
Nouveau ? Voici comment faire
1
Cliquez sur "Start Lab" ci-dessus Vous obtiendrez votre propre machine avec une adresse IP
2
Explorez la cible Ouvrez l'IP dans votre navigateur et cherchez des vulnérabilités
3
Trouvez et soumettez les flags Les flags sont des textes secrets cachés dans le système - collez-les ci-dessous pour marquer des XP

Prêt à hacker ce lab?

Créez un compte gratuit pour démarrer votre propre serveur dédié, soumettre des flags et gagner des XP au classement.

Commencer à Hacker Gratuitement

Labs similaires

Labs qui partagent des compétences similaires

ClearDesk
ClearDesk
Medium 400 XP 185
IDOR API Security Path Traversal Access Control
Compromised 1
Compromised 1
Medium 400 XP 124
Apache Tomcat Web Application Security WAR Deployment Default Credentials
Alpwned
Alpwned
Medium 400 XP 116
SQL Injection Authentication Bypass SSH Linux Privilege Escalation
FortiPy
FortiPy
Hard 700 XP 76
Web Application Security SSTI Flask Security SSH Brute Force
13 000+ Hackers 100+ Labs & Cours Gratuit
Commencer Gratuitement