IDOR

Insecure Direct Object Reference – greife auf fremde Datensätze zu.

Level 1 Level 2 Level 3
Level 1: Nutzerprofil per ID
Du bist als Nutzer #1 eingeloggt. Dein Profil: ?level=1&id=1
Kein Profil geladen. Klicke auf "Mein Profil" oder ändere die ID in der URL.
Mein Profil (ID=1) laden 
Die URL enthält ?id=1 – ändere sie auf ?id=2, ?id=3, ?id=4...
Der Server prüft nicht, ob du berechtigt bist.

?level=1&id=4  → Admin-Datensatz mit FLAG