Что такое IDOR уязвимость и как тестировать?

IDOR (Insecure Direct Object Reference) — можно получить чужой объект просто сменив ID. Тест: логинимся как User A, берём ID его ресурса, логинимся как User B и запрашиваем /api/orders/{idUserA} — должен получить 403, а не данные. Это Broken Object Level Authorization (BOLA) — #1 в OWASP API Security Top 10. Тестируем: все эндпоинты с ID параметрами, GET/PUT/PATCH/DELETE чужих ресурсов, nested объекты (order → items чужого order). Автоматизация: dual account testing.