IDOR corrigido: quando o ID na URL é uma vulnerabilidade
Fix de segurança IDOR à 1h da manhã — a vulnerabilidade onde manipular um ID na URL permite acessar dados de outro usuário.
Um commit de madrugada, às 1h01, com uma vulnerabilidade de segurança no centro.
IDOR — Insecure Direct Object Reference. É uma das vulnerabilidades mais comuns na lista OWASP e uma das mais fáceis de introduzir sem perceber. O cenário básico: sua aplicação recebe um ID por parâmetro (URL, POST body, qualquer entrada do usuário) e usa esse ID direto para buscar dados no banco, sem verificar se o usuário logado tem permissão para acessar aquele objeto.
O resultado? Usuário A troca id=123 por id=124 na URL e vê os dados pessoais de outro usuário.
A correção envolve sempre validar ownership antes de servir os dados: não basta o ID existir, precisa pertencer ao usuário autenticado. No kmaroteApp, isso foi corrigido nos dados pessoais — junto com outras validações adicionais e ajustes na UI do formulário de dados pessoais.
O campo de gênero também foi ajustado nesse mesmo commit — consistência de valores com o que foi estabelecido nos commits anteriores.
Em paralelo, continuação da investigação do Drive vs. local: agora com foco em construir uma interface de comparação onde você vê os dois arquivos lado a lado e decide qual deletar — mais prático do que processar um JSON bruto de comparação.
Domingo de madrugada. O tipo de fix que não pode esperar até segunda.