I
Installation
Pick a client and clone the repository into its skills directory.
Installation
About this skill
This skill should be used when the user asks to \
How to use
- Przygotuj środowisko testowe: upewnij się, że masz dostęp do docelowej aplikacji webowej, co najmniej dwa konta testowe (aby zweryfikować dostęp między użytkownikami) oraz narzędzie proxy takie jak Burp Suite do przechwytywania i manipulacji żądaniami HTTP. Uzyskaj pisemną autoryzację do przeprowadzenia testów bezpieczeństwa. 2. Zidentyfikuj typ podatności IDOR: przeanalizuj, jak aplikacja odwołuje się do zasobów użytkownika — czy poprzez bezpośrednie referencje do obiektów bazy danych (np. identyfikatory numeryczne w URL-ach), czy poprzez referencje do plików statycznych (np. nazwy plików). 3. Manipuluj parametrami żądania: zaloguj się na pierwsze konto testowe, przechwyć żądanie do zasobu użytkownika za pomocą proxy, a następnie zmień parametry (identyfikatory, nazwy plików) na wartości należące do innego użytkownika. Obserwuj, czy aplikacja pozwala na dostęp do danych, które nie powinny być dostępne. 4. Enumeruj identyfikatory i obiekty: systematycznie testuj różne wartości parametrów (np. ID od 1 do 100) aby odkryć, które zasoby są dostępne bez odpowiedniej autoryzacji. Dokumentuj każdy przypadek udanego dostępu do cudzych danych. 5. Opracuj raport: zbierz dowody podatności (proof of concept), wymień wszystkie zagrożone endpointy API i parametry, oceń wagę ekspozycji danych oraz sformułuj konkretne rekomendacje naprawcze dla zespołu deweloperskiego.