Nuevos labs cada semana — Accede a todos desde 7,99€/mes

Ver labs →
BBLABS v2BBLABSv2
>Inicio>Labs
>New labs

Últimos 3 labs

Cargando…

Ver todos los labs →
>Creators>Ranking
>Aprender

Aprender bug bounty

AcademyGuías, cheatsheets y diccionarioVulnerabilidadesXSS, SQLi, IDOR, SSRF y másRoadmapTu ruta de bug bounty paso a pasoBlogGuías y noticias de bug bounty
>Empresa>Precios
LinkedInInstagramYouTubeDiscordContáctanos
AccederAcceder
>Inicio>Labs>New labs>Creators>Ranking>Aprender>Empresa>Precios
Iniciar SesiónCrear Cuenta
  1. Inicio
  2. Labs
  3. Advanced IDOR Challenges
DifícilVDP1h

Advanced IDOR Challenges

Por @gorka

Plataforma corporativa con 8 desafios progresivos de IDOR: desde IDOR directo hasta Type Juggling, Array Injection, Body Parameter Override, Predictable IDs, HTTP Parameter Pollution, Mass Assignment y Transfer Intent Manipulation.

73 visitas7 completadosActualizado jun 2026
Iniciar sesión para empezar

Accede a este lab

Entorno seguro y aislado

Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.

Crear cuentaYa tengo cuenta

Hunters que lo han resuelto· 7

benjaminnocervigni1
@benjaminnocervigniHace 4 días
pl4nkton2
@pl4nktonHace 18 días
w4tchw0lf3
@w4tchw0lfHace 18 días
CR
@crashmay 2026
MA
@maxioliveramay 2026
gorka
@gorkaabr 2026
AL
@alndrwlaabr 2026

Objetivos

1
Completar los 8 niveles de IDOR progresivos
2
Aprender diferentes tecnicas de bypass de autorizacion
3
Explotar Type Juggling, Array Injection y HPP

Información

Dificultad
Difícil
Duración
1h
Bounty
VDP
Completados
7
Creador
gorka@gorka
Actualizado
jun 2026

Acceso al Lab File

Suscríbete para descargar

Crear cuenta

Herramientas

Burp Suitecurl

Prerequisitos

  • IDOR basico
  • Manipulacion de parametros HTTP
  • Type juggling en JavaScript

Tags

IDOR

Logro que recibirás

Cuando resuelvas este lab desbloqueas este logro compartible

BBLABS.ESLab Resuelto
DifícilVDP
// achievement_unlocked

Advanced IDOR Challenges

IDOR
jun 2026
gorka
solved_by@gorkaMiembro desde mar 2026
bblabs.es// real bug bounty practice

Writeups de la comunidad

Credenciales

Usuario Contrasena Rol
alex_intern alex123 intern
elena_ceo elena2024 CEO
miguel_cto miguel123 CTO

Despliegue

# Opcion 1: autodeploy
./autodeploy.sh

# Opcion 2: manual
docker compose up --build

# Acceder
http://localhost:2100

Compatible con macOS, Linux y Windows (Docker Desktop / WSL).

Para parar:

./autodeploy.sh destroy
# o: docker compose down -v

Contenido del Lab

La aplicacion

NexusHub es una plataforma corporativa con documentos confidenciales, transferencias y gestion de empleados. Cada nivel introduce una tecnica de IDOR mas avanzada.

La vulnerabilidad

8 endpoints con diferentes variantes de IDOR: directo, type juggling (number vs string), array injection ([id]), body override, IDs predecibles, HPP (?id=1&id=2), mass assignment en updates, y manipulacion de intents de transferencia.

Cadena de ataque

Nivel 1: IDOR directo en ID
Nivel 2: Type juggling (enviar numero en vez de string)\nNivel 3: Array injection [userId]
Nivel 4: Body parameter override
Nivel 5: IDs predecibles/secuenciales
Nivel 6: HTTP Parameter Pollution
Nivel 7: Mass Assignment en update
Nivel 8: Transfer intent manipulation

Solucion interactiva

Accede a /writeup dentro de la aplicacion para una guia paso a paso con botones interactivos.

Flag

(cada challenge tiene su propia flag)

Remediacion

  1. Validar autorizacion en cada acceso a recursos
  2. No confiar en el tipo de dato del parametro
  3. Usar UUIDs en vez de IDs secuenciales
  4. Validar que el recurso pertenece al usuario autenticado

Contacto

Practica, aprende y hackea

Plataforma de práctica de bug bounty con labs basados en reportes reales. Aprende hacking ético en entornos seguros.

contactar→

Síguenos

YouTube
@0xGorka
X
@gorkaelbochi
LinkedIn
gorka-el-bochi-morillo
Instagram
@_.gorkaaa.b
Email
team@bblabs.es

Accede a todos los labs desde 7,99€/mes

Nuevos labs cada semana. Cancela cuando quieras.

Crear cuenta

BBLabs es la plataforma de laboratorios de bug bounty en español donde aprender bug bounty con vulnerabilidades reales extraídas de reportes pagados en HackerOne, Bugcrowd e Intigriti. Aquí practicas hacking web —XSS, SQLi, IDOR, SSRF, CSRF y más— en entornos descargables, capturas la flag, lees el writeup y aplicas la técnica en programas activos de bug bounty.

BBLabs es la alternativa en español a HackTheBox, TryHackMe y PentesterLab para quienes quieren practicar bug bounty con reportes reales en lugar de CTFs artificiales. Desde 7,99€/mes, sin permanencia.

→ Aprender bug bounty desde cero→ Reportes de bug bounty reales→ BBLabs para empresas y academiasLabsAcademyVulnerabilidadesRanking de huntersLabs de XSSLabs de IDORLabs de SSRFLabs de CSRFHackTheBox alternativaHack4u alternativaTryHackMe alternativaPortSwigger alternativaPentesterLab alternativaBug Bounty Labs comparativaMejores plataformas bug bounty 2026BlogSpoilers¿Qué es el bug bounty?¿Cuánto se gana en bug bounty?OWASP Top 10 explicadoMejores webs para practicar hacking web
Hecho cony código
TérminosPrivacidadComparativa

© 2026 BBLABS v2 — Todos los derechos reservados