Viết tắt là IDOR, là một lỗ hổng liên quan đến access control (quản lý quyền truy cập). Lỗ hổng này liên quan đến việc người dùng truy cập bất hợp pháp đến các đối tượng mà họ vốn không có quyền truy cập.
Giả sử trang profile của chúng ta có đường dẫn là domain.com/user/1102/profile. Khi ta thử truy cập trang của user khác, chẳng hạn như domain.com/user/6969/profile:
- Nếu trang web cho phép truy cập thì tức là nó tồn tại lỗ hổng IDOR.
- Nếu không, nó sẽ cần phải bắt người dùng xác thực danh tính trước rồi mới cho truy cập.
Trong trường hợp ID của người dùng bị encoded bằng một encoding format dễ đoán, chẳng hạn như base32 hoặc base64, chúng ta vẫn có thể chỉnh sửa giá trị. Quá trình chỉnh sửa như sau:
Đối với hashed ID thì có thể thử giải thông qua CrackStation.
Trong trường hợp không thể đoán được ID có dạng gì thì ta cần tạo hai tài khoản và thử truy cập vào nội dung của tài khoản thứ hai trong khi đang đăng nhập vào tài khoản thứ nhất. Nếu vẫn có thể xem được thì chứng tỏ là trang web có lỗ hổng IDOR.