Что такое broken access control и примеры тестирования?

Broken Access Control — #1 в OWASP Top 10 2021. Примеры: IDOR (GET /api/users/456 будучи user 123), privilege escalation (обычный user вызывает admin API), insecure direct object reference (скачиваем файл по предсказуемому URL /files/123), missing function level authorization (обычный user меняет роль через API). Методология тестирования: создаём двух пользователей с разными правами, кросс-тестируем каждый эндпоинт. Запрашиваем admin эндпоинты без admin прав.