IDOR в cookie-сессии, приводящий к массовому захвату аккаунтов

[0x22]

10 лет назад прикрыли подобную багу на МойМир от Mail.Ru, в конце значения куки Mpop проставлялась почта юзера, поменяв которую, можно было полноценно пользоваться аккаунтом чужого мира. Но только надо было предотвратить некоторые запросы, инициируемые в js-ках.

[imageman]

Вот бы сюда еще "лучшие практики по предотвращению". Подозреваю, что это просто рандомный uuid и привязка его к IP, храним в БД вместе с ID и датой.