Что такое authentication bypass и как тестировать?

Authentication bypass — способы обойти аутентификацию. Тестируем: прямой URL к защищённой странице без логина → редиректит на login? API запрос без токена → 401? Манипуляция cookie: изменяем isAdmin=false → true → должно игнорироваться. JWT none algorithm. Password reset token — можно ли угадать? Параллельные запросы на reset — race condition? SQL injection в поле логина. Brute force — есть ли lockout? Mass assignment — добавляем поле verified=true при регистрации.