Одна подмена параметра в API-запросе — и ты читаешь чужие паспортные данные или скачиваешь чужие документы. IDOR стабильно приносит от нескольких сотен до нескольких тысяч долларов за репорт — автоматические сканеры её не ловят, WAF не блокирует.Методология: два аккаунта, маппинг всех эндпоинтов...
IDOR уязвимость в bug bounty: как находить и репортить для максимальных выплат
Источник: codeby.net