链接：https://infosecwriteups.com/i-mean-idor-is-not-only-about-others-id-2d26115072ba

作者开始了一个创建列表的请求：

作者认为bookmark_id 可能存在IDOR，测试过后发现并没有起作用。

而每个人只能公开3个collection，只要多创建，就会只显示3个，其他的会被锁。

然后呢，作者在共享的时候，把bookmark_id 替换为被锁的，然后就一样可以直接使用，这就突破了

业务的限制。

逻辑漏洞，确实好挖。