Поехали IP: 62.173.140.174:16085
Как всегда все делаем через наш любимый Burp Pro

1)Открываем сайт ничего не обычного, пробуем ввести admin admin посмотреть, что и как работет
Получаем пользователь такой существует и пароль не верный
https://forum.antichat.xyz/attachments/29124340/1758445997132.png

2) Переходим на вкладкуCreate Account
Создаем новую учетку babaika 1234 (Учетка может быть любой)

3) При успешном создании учетки логинимся под ней
Появляется форма данных

https://forum.antichat.xyz/attachments/29124340/1758446193824.png

4) Пробуем повводить данные

https://forum.antichat.xyz/attachments/29124340/1758446260994.png

5) Анализируем Proxy - HTTPhistory
Видим post и get запросы.
В post запросе мы передаем параметры description=12345&value=12345 (То что вводили)
В get запросе /getPass/3 получаем вывод
[{"description":"1234","id":2,"value":"1234"},{"description":"12345","id":3,"value":"12345"}]

https://forum.antichat.xyz/attachments/29124340/1758446328865.png

6)Пробуем подменить параметр 3(id) в запросе /getPass/3 на 1 (id). Для просмотра других строк пользователей
Получаем флаг.

https://forum.antichat.xyz/attachments/29124340/1758446598218.png

Уязвимость IDOR

Всем спасибо
Критика принимается )))

и по традиции

«Не стыдно не знать, стыдно не учиться» — русская пословица.