IDOR (Insecure Direct Object Reference)
La app expone IDs de objetos en la URL o el body sin verificar que el usuario tiene derecho a verlos.
Categoría: Web · OWASP Top 10 🎯 Trinchera — La app expone IDs de objetos en la URL o el body sin verificar que el usuario tiene derecho a verlos. Cambias?invoice=1042 por ?invoice=1043 y ves la factura del vecino.
🔗 Kill chain — Requisito: cuenta de usuario válida. Movimiento
siguiente: enumeración masiva (scripteo), exfiltración de datos
personales, modificación de objetos ajenos, escalada vertical
(?role=admin).
📡 Huella defensiva — Volumen anómalo de peticiones a endpoints
de lectura desde un mismo usuario. Acceso a IDs no enlazados en su
historial de navegación.
⚠️ Falso amigo — Probar sólo con incrementos +1. Los IDs reales
suelen ser UUIDs predecibles, hashes débiles o tokens en base64
descifrables.
🛡️ Remediación — Verificar siempre la propiedad en el backend.
No basta con que el frontend oculte el botón.
← Volver al glosario completo Última actualización: 2026-06-11