Вы видите, что кнопка «Удалить пользователя» доступна только администраторам, вы не авторизованы как админ, но знаете URL и параметры.
На другой странице вы нашли следующий HTML-код формы:
<form action="/deleteUser?id=5" method="POST">
❓ Какой тип атаки здесь возможен?Пишите ваши догадки в комментариях ✏️
Правильный ответ:
Если кнопка скрыта на клиенте, но запрос POST /deleteUser?id=5 можно отправить вручную — это уязвимость прямого доступа к объекту (IDOR). Она возникает, когда проверка прав проводится только на уровне интерфейса, но не на сервере.
Вы видите, что кнопка «Удалить пользователя» доступна только администраторам, вы не авторизованы как админ, но знаете URL и параметры.
На другой странице вы нашли следующий HTML-код формы:
<form action="/deleteUser?id=5" method="POST">
❓ Какой тип атаки здесь возможен?Пишите ваши догадки в комментариях ✏️
Правильный ответ:
Если кнопка скрыта на клиенте, но запрос POST /deleteUser?id=5 можно отправить вручную — это уязвимость прямого доступа к объекту (IDOR). Она возникает, когда проверка прав проводится только на уровне интерфейса, но не на сервере.
Some Telegram Channels content management tips How to Create a Private or Public Channel on Telegram? Telegram users themselves will be able to flag and report potentially false content. Administrators As five out of seven counts were serious, Hui sentenced Ng to six years and six months in jail.
from us
