Questo tipo di vulnerabilità si presenta quando è possibile ottenere accesso ad un account diverso dal nostro, per esempio se una richiesta dal nostro account si presenta in questo modo:
http://sitoinsicuro.com/account?id=150E provando a cambiare numero dell’id ci ritroviamo su un account diverso dal nostro, allora abbiamo trovato una IDOR.
Molto spesso non è così facile trovare questo tipo di vulnerabilità perchè le difese tendono a rendere impossibile prevedere un id diverso dal nostro, ma si può comunque provare a trovare la regola di conteggio tramite pattern prevedibili come data e ora, hash semplici, aumento lineare, ecc.
Se proprio non è possibile prevedere l’id puoi provare a cercarlo tra le risposte alle nostre richieste tramite strumenti come BurpSuite oppure cercando nel profilo degli altri utenti il loro id per esempio tramite il sorgente pagina.