IDOR: Перебор заказов по последовательным ID

# IDOR через предсказуемые ID заказов ## Сценарий Перед вами Python/Flask интернет-магазин, в котором у каждого пользователя есть история заказов. Страница деталей конкретного заказа доступна авторизованным пользователям и идентифицируется через ID в URL. В отличие от типичной IDOR-уязвимости с одним только отсутствием проверки доступа, в этой реализации соединились **два независимых дефекта**: предсказуемый формат идентификаторов (упрощает разведку) и отсутствие проверки владельца (делает разведку результативной). Любой из этих дефектов по отдельности уже плох, а вместе они дают практичный канал утечки чужих данных. В одном из заказов в системе зашит CTF-флаг. Ваша задача — найти этот заказ через IDOR. ## Цели 1. Авторизуйтесь как обычный пользователь (`demo` / `demo`) и изучите страницу профиля с историей своих заказов. 2. Проанализируйте формат идентификаторов в URL и сравните разные ID — что именно сервер вам отдаёт. 3. Используя обнаруженные слабости, найдите заказ, который вам не принадлежит, но содержит CTF-флаг. ## Данные | Параметр | Значение | |----------|----------| | Пользователь | `demo` / `demo` |