IDOR — Akses Data Pengguna
Halaman ini menampilkan profil berdasarkan parameter user_id. Tidak ada pengecekan otorisasi — siapapun bisa mengakses data siapapun.
Kerentanan: IDOR — Server tidak memverifikasi apakah user yang login berhak mengakses data user_id tersebut. Dengan Burp Suite, intercept request dan ubah
user_id untuk mengakses data orang lain. Coba id: 1 (user biasa), 4 (staff), 5 (admin).