권한 우회 (IDOR)

핵심 개념

IDOR(Insecure Direct Object Reference)는 다른 사용자의 리소스에 ID만 바꿔서 접근하는 공격입니다. OWASP A01의 가장 흔한 사례입니다.

코드 분석

SECURITY📋 코드 (1줄)

IDOR 공격취약한 API:GET /api/orders/1234→ 내 주문GET /api/orders/1235→ 남의 주문도 조회됨!방어:// 반드시 소유자 확인const order = await db.orders.findFirst({&nbsp;&nbsp;where: {&nbsp;&nbsp;&nbsp;&nbsp;id: orderId,&nbsp;&nbsp;&nbsp;&nbsp;userId: session.user.id // ← 핵심&nbsp;&nbsp;}})if (!order) throw new Error('403')규칙: 모든 조회에 userId 조건 추가

AI 프롬프트

🤖 AI에게 잘 물어보는 법 — 모델·전략별 프롬프트

Claude

무료: Sonnet 4.6 / Pro $20/mo: Opus 4.6

이 '권한 우회 (IDOR)' 코드에서
OWASP Top 10 관점의 보안 취약점을 찾고
안전한 코드로 수정해줘.

ChatGPT

무료: GPT-5.5 / Plus $20/mo: GPT-5.5 Pro

'권한 우회 (IDOR)' 공격 방어 코드를
단계별로 구현해줘.
실전 페이로드 예시도 포함해서.

Gemini

무료: 2.5 Flash / Pro $19.99/mo: 3.1 Pro

이 웹 앱의 '권한 우회 (IDOR)' 관련 보안 헤더·인증 로직을
전체 분석해서 취약점·우회 가능 케이스·로그 누락을
우선순위 리포트로 만들어줘.

Grok

무료: Grok 4.1 / SuperGrok $30/mo

'권한 우회 (IDOR)' 취약점이 실제 해킹 사건·CVE에서
얼마나 자주 발견되는지 2026년 기준
솔직한 데이터로 알려줘.

⭐ 이것만 기억하세요

권한 우회 (IDOR)는 이 3가지만 확실히 잡으세요

1./api/users/123처럼 ID를 URL에 노출하면 공격자가 124, 125로 바꿔서 다른 사용자 데이터를 조회합니다

2.서버에서 현재 로그인 사용자의 ID와 요청 리소스의 소유자를 비교하는 권한 검증이 필수입니다

3.다음 챕터에서 API 전반의 보안 취약점을 배웁니다

💬 이 챕터 질문 보기

SECURITY · CH.16 — 질문하거나 답변을 확인하세요

→

진행도 16 / 84

← 커리큘럼으로 ← 목록으로 (화이트햇 보안)