⌘K
ENES
GitHub
playbookPlaybooks de Seguridad~1 min de lecturaActualizado Apr 23, 2026

Exploit IDOR

Objetivo

Determinar si los identificadores de objetos pueden manipularse para acceder a datos o acciones de otro usuario.

Supuestos

  • la app expone rutas, IDs o referencias específicas de objetos
  • authorization puede ser más débil que authentication
  • el servidor puede confiar demasiado en identificadores enviados por el cliente

Prerrequisitos

  • cuentas de prueba autenticadas con scopes de privilegio distintos
  • capacidad de capturar y hacer replay de requests
  • comprensión de dónde viven los objetos dentro de la app

Pasos de recon

  1. Mapeá endpoints que exponen object IDs en paths, query params, forms o JSON.
  2. Compará requests de dos usuarios distintos.
  3. Buscá IDs predecibles, reutilización de UUIDs, registros secuenciales o referencias filtradas.

Pasos de exploit / testing

  1. Capturá una request que accede a un objeto.
  2. Cambiá solo el identificador del objeto.
  3. Reproducí la request con el mismo contexto auth.
  4. Probá operaciones de lectura y escritura.
  5. Repetí en endpoints ocultos, exports, downloads y rutas mobile/API.

Señales de validación

  • se devuelve el objeto de otro usuario
  • escrituras contra el recurso de otro usuario tienen éxito
  • la metadata de response cambia sin error de autorización
  • cambios de timing o status indican existencia del objeto

Mitigación

  • aplicar autorización server-side en cada acceso a objeto
  • usar referencias indirectas solo como ayuda, no como reemplazo
  • no depender de visibilidad de UI como protección
  • loguear fallas de autorización y patrones sospechosos de acceso a objetos

Logging / detección

  • intentos repetidos de acceso sobre IDs adyacentes
  • muchas combinaciones 403/404 en la misma familia de rutas
  • contexto auth accediendo objetos fuera del scope de ownership esperado

Notas relacionadas

Referencias

  • Testing / Lab: PortSwigger IDOR page — https://portswigger.net/web-security/access-control/idor
  • Testing / Lab: PortSwigger access control topic — https://portswigger.net/web-security/access-control
  • Fundamental: OWASP WSTG authorization testing — https://owasp.org/www-project-web-security-testing-guide/latest/

Notas relacionadas

Playbooks de SeguridadBreak JWT ValidationIdentificar si el manejo de JWT es lo suficientemente débil como para aceptar tokens inválidos, viejos, mal scopeados o influenciados por un atacante. Playbooks de SeguridadDetectar la recolección de BloodHoundDetectar la enumeración de Active Directory por colectores de la familia BloodHound (SharpHound / BloodHound-CE y sucesores como SOAPHound) lo suficientemente temprano como para identificar el host de origen, el principal de origen y el método de recolección antes de que el operador convierta el grafo de ataque resultante en una cadena Kerberoast → DCSync → Domain Admin — y con suficiente fidelidad como para sobrevivir a las evasiones realistas de 2026 (LDAP paginado/throttleado, recolección DCOnly, abuso de AD Web Services, colectores custom en memoria). Playbooks de SeguridadDetectar DCSync y acceso a ntds.ditDetectar las dos formas de extracción masiva de credenciales de Active Directory — DCSync (IDLDRSGetNCChanges vía la interfaz RPC DRSUAPI) y extracción offline de ntds.dit (acceso a nivel archivo, abuso de shadow-copy VSS, invocaciones de ntdsutil) — con fidelidad suficiente para identificar el principal origen, las cuentas afectadas y la ventana posterior a la extracción antes de que puedan usarse tickets falsificados (Golden Ticket o Silver Ticket). Playbooks de SeguridadDetect External Recon Scan PipelineDetectar a un operador externo corriendo un pipeline de recon de dos fases Masscan → Nmap-NSE (el playbook ofensivo Run External Recon Scan Pipeline) contra tu perímetro, con fidelidad suficiente para identificar fuente, scope e intención en minutos — antes de que los hallazgos de la fase de profundidad se conviertan en explotación posterior. Playbooks de SeguridadDetectar Kerberoasting y AS-REP RoastingDetectar las dos familias de ataques de credenciales Kerberos en Active Directory (Kerberoasting y AS-REP Roasting) mediante análisis behavioral sobre Event IDs 4768/4769 y telemetría complementaria, con fidelidad suficiente para identificar la cuenta origen, el host atacante y el alcance en minutos, y con durabilidad suficiente para sobrevivir pequeñas variaciones de tradecraft del operador (tipo de cifrado, tasa de requests, selección de cuentas). Playbooks de SeguridadExploit SQL InjectionDeterminar si input controlado por el usuario puede alterar la lógica de queries SQL de forma que cambie acceso, datos o comportamiento.