CRITICAL

Broken Access Control

Fallos en controles de acceso y autorización que permiten acceso no autorizado a recursos

Principiante

Modo Reto activo — explora libremente. Activa el Modo Tutorial si necesitas orientación.

Endpoint de la API:

Ejemplos de explotación:

IDOR — ver todas las notas sin autenticar

Acceder a notas de todos los usuarios sin autenticación

/api/notes

IDOR — nota del usuario 1

Acceder a la nota privada del usuario con id=1

/api/notes/1

IDOR — nota del usuario 2 (ajeno)

Acceder a la nota privada de otro usuario cambiando el id

/api/notes/2

IDOR — explorar IDs secuenciales

Enumerar recursos cambiando el ID de 1 a N

/api/notes/5

Horizontal privilege escalation — otro usuario vía param

Acceder al perfil de otro usuario manipulando userId en query param

/api/users?userId=2

Method bypass — DELETE sin autorizar

Eliminar un recurso ajeno enviando DELETE directamente

/api/notes/3

Mass assignment — elevar rol a admin

Incluir el campo 'role' o 'isAdmin' en el body para escalada vertical

/api/notes

Path traversal en ID de recurso

Usar ../ en el identificador para acceder a recursos no previstos

/api/notes/../users

Vulnerabilidad Crítica

Estos endpoints no implementan controles de acceso adecuados. Cualquier usuario (incluso sin autenticar) puede ver, modificar o eliminar recursos de otros usuarios. No hay validación de permisos ni verificación de propiedad de recursos (IDOR - Insecure Direct Object Reference).

Ver Documentación Completa de la API

Esta aplicación es vulnerable por diseño - Solo para propósitos educativos