← 글 목록
버그바운티

HackerOne VDP에서 찾은 IDOR — 권한 검증 누락 라이트업

2026.05.21 · 1 min read · #idor #access-control #h1

VDP 프로그램을 보던 중, 객체 식별자를 바꾸면 다른 사용자의 리소스에 접근되는 IDOR를 발견했다.

발견 과정

리소스 조회 요청의 id 파라미터를 순차적으로 바꿔 보며 응답 차이를 관찰했다. 권한 검증이 클라이언트 측에만 있고 서버에서 한 번 더 확인하지 않는 구조였다.

영향도

수평 권한 상승으로 타 사용자 데이터 열람이 가능했고, CWE-639(Authorization Bypass Through User-Controlled Key)로 분류해 리포트했다.

배운 점은, 단순해 보이는 접근통제 누락이 실제로는 가장 흔하고 임팩트 있는 취약점 중 하나라는 것.