声明：所分享内容是在国外黑客大佬的漏洞报告基础上加工整理，仅用于网安爱好者之间的技术讨论，禁止用于违法途径，所有渗透都需获取授权！否则需自行承担，作者不承担相应的后果.

IDOR（Insecure direct object references）漏洞，即不安全对象引用漏洞。

1. 查找接口

某个测试目标打开后是一个空白页。

因此，利用 F12 开发人员工具来检查 JavaScript 是否提供了其他信息。幸运的是，找到了多个接口，并且能够从这些接口检索数据。

2.  获取参数

所以接下来，需要对这些参数做些模糊测试。

然而，有趣的是，在构造参数名称准备模糊测试时，返回数据包直接提示了缺少的参数名称。

3. 模糊测试 & & IDOR

有了参数名称，接下来去模糊测试参数的值，而且根据参数名的含义猜测它的值应该都是数字，但是不知道有多少位，试试下面的。

不出意外，成功获取到用户信息

因此，在遇到空白页时，不应放弃。通过使用 F12 来寻找接口并启动模糊测试，肯定会出现意想不到的成功。加油!!

原文始发于微信公众号（薯条机器猫）：如何从空白页发现 IDOR漏洞