BBLabs NewsBBLabs News
NoticiasTodas las noticiasTemas
EN
  1. Inicio
  2. ›
  3. Glosario
  4. ›
  5. IDOR
Bug Bounty

IDORInsecure Direct Object Reference

Definición

Vulnerabilidad de control de acceso: el servidor expone IDs adivinables o predecibles y no valida que el solicitante tenga permiso sobre ese recurso.

El bug bounty class más buscado para principiantes — y para expertos en programas grandes. Patrón: `GET /api/invoices/123` te devuelve tu factura, cambias a `/api/invoices/124` y te devuelve la del usuario de al lado. Sin 403, sin auth check.

Variantes: IDOR horizontal (entre usuarios pares), vertical (escalada a admin), de write (PUT/DELETE en recursos ajenos), de UUID predecible (UUIDv1 con MAC + timestamp, IDs base64 con info filtrada).

Defensa: comprobar ownership en CADA endpoint del recurso, no en el frontend. Tests automatizados que cambien el ID y esperen 403. ORM con scoping por usuario (Rails default_scope + current_user, Django get_object_or_404 con filter). UUIDv4 random como mínimo (no v1).

Términos relacionados

  • XSS
  • SQLi
  • SSRF

Últimos artículos en Bug Bounty

  • →Repo jacking en bundler.io: supply chain abierta
  • →Jacob Butler arrestado por operar la botnet Kimwolf
  • →Arrestado admin de KimWolf: botnet DDoS con 2M infectados

¿Te interesa Bug Bounty?

Recibe una historia técnica al día sobre bug bounty — filtrada, resumida y accionable.

Suscribirme
BBLabs NewsBBLabs News

Una historia al día. Cero ruido.

Newsletter técnica de ciberseguridad, vulnerabilidades, IA y bug bounty. Para gente que se toma en serio no perder el tiempo.

Conecta

Comunidad

  • Discord BBLabsÚnete a la comunidad
  • Discord Bug Bounty EspañaComunidad BB Es

Síguenos

  • YouTube · 0xGorkaCyber, hacking y bug bounty
  • Instagram · @bblabs.esLo último del proyecto

Contacto

team@bblabs.esEscríbenos para lo que sea

Para feedback, partnerships o reportar un bug en la web. Respondemos rápido.

Acerca de·Temas·Glosario·RSS·Privacidad·Términos
© 2026 BBLabs News·Por Gorka El Bochi
Hecho en España