En nuestra tarea diaria de auditar aplicaciones web, apis, móviles, etc… Solemos buscar uno de los fallos más comunes hoy en día, el cual está ubicado en el owasp top 10 – 2013 en el puesto #4 y en el 2017 en el puesto #5, incluso lo incluye el OWASP TOP 10 2021 como el rey del top en la posición #1. Aun cuando los frameworks han reducido enormemente la cantidad de fallos de este tipo siguen siendo uno de los bugs más encontrados hoy en día. Sin dar tanta vuelta, el fallo ocurre cuando un usuario con o sin un rol especifico puede realizar acciones que se supone no debería tener permisos para hacerlo. Un ejemplo sería si en un blog de noticias, un usuario normal que pueda borrar usuarios administradores o comentarios de otros usuarios en el blog. Este no es el funcionamiento adecuado de una página web, la vulnerabilidad de la que estamos hablando es un fallo de control de acceso exactamente hablamos de la Referencia Directa Insegura a Objetos (IDOR).
