IDOR (Insecure Direct Object Reference) ist eine häufige Schwachstelle in Webanwendungen. Sie tritt auf, wenn die Anwendung interne Objekt-IDs (z. B. Datenbank-IDs in URLs) direkt exponiert und keine serverseitige Berechtigungsprüfung durchführt. Ein Angreifer kann dann durch einfaches Ändern der ID auf Daten anderer Nutzer zugreifen. IDOR gehört zu den OWASP Top 10 unter der Kategorie Broken Access Control. Die Gegenmaßnahme ist konsequente serverseitige Autorisierung bei jedem Zugriff auf eine Ressource. In deinem ISMS sollte die sichere Entwicklungsrichtlinie IDOR als bekanntes Muster benennen und automatisierte Tests dafür vorsehen.