From 7dded3519eb787be75c45a51ec53a3b8b3660895 Mon Sep 17 00:00:00 2001
From: X-3306 <75887512+X-3306@users.noreply.github.com>
Date: Thu, 29 Dec 2022 20:17:28 +0100
Subject: [PATCH] Update introduction.md

---
 docs/zh/docs/web/introduction.md | 10 ++++++++++
 1 file changed, 10 insertions(+)

diff --git a/docs/zh/docs/web/introduction.md b/docs/zh/docs/web/introduction.md
index 0ad8687443..cfb00ffb67 100644
--- a/docs/zh/docs/web/introduction.md
+++ b/docs/zh/docs/web/introduction.md
@@ -17,6 +17,16 @@ WEB 类的题目包括但不限于：SQL 注入、XSS 跨站脚本、CSRF 跨站
 
 跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets，CSS）的缩写混淆，故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码，当用户浏览该页之时，嵌入其中 Web 里面的 HTML 代码会被执行，从而达到恶意攻击用户的特殊目的。
 
+## IDOR 不安全的直接对象引用
+
+不安全的直接对象引用 (Insecure Direct Object References, IDOR) 是一种常见的 Web 应用程序漏洞，其允许攻击者访问应该被限制的资源或信息。下面是一些 IDOR 漏洞的例子：
+
+一个在线商店的 URL 包含了商品的编号，攻击者可以通过操纵这个编号来访问限制访问的商品。
+
+一个网站的 URL 包含了用户的用户名，攻击者可以通过操纵这个用户名来访问其他用户的信息。
+
+一个应用程序的 URL 包含了文件的编号，攻击者可以通过操纵这个
+
 ## 命令执行
 
 当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如 PHP 中的 `system`、`exec`、`shell_exec` 等，当用户可以控制命令执行函数中的参数时，将可以注入恶意系统命令到正常命令中，造成命令执行攻击。这里还是主要以 PHP 为主介绍命令执行漏洞，Java 等应用的细节待补充。