IDOR
Также: Insecure Direct Object Reference
IDOR — это уязвимость, когда приложение позволяет пользователю получить доступ к чужим данным, просто изменив идентификатор в ссылке.
IDOR (Insecure Direct Object Reference) возникает, когда сервер доверяет пользователю и отдает данные по прямому запросу, не проверяя, имеет ли этот пользователь право на их просмотр. Представьте, что вы в отеле и можете открыть любую дверь, просто поменяв номер комнаты на табличке. Если вы живете в номере 101, но меняете табличку на 102 и дверь открывается — это и есть IDOR.
В разработке это выглядит так: вы заходите на сайт по адресу `site.com/profile/123`, где 123 — ваш ID. Если вы меняете цифру на 124 и видите чужой профиль, значит, разработчик забыл добавить проверку прав доступа. Это критическая ошибка безопасности, которая позволяет злоумышленникам «гулять» по чужим данным.
Зачем это нужно
Для вайбкодера и AI-разработчика важно понимать IDOR, чтобы с самого начала закладывать правильную логику доступа. Когда вы используете инструменты вроде Supabase или пишете Backend, вы должны всегда проверять, принадлежит ли запрашиваемый объект текущему пользователю, иначе ваше приложение станет дырявым еще до первого релиза.