IDOR (Insecure Direct Object Reference) — можно получить чужой объект просто сменив ID. Тест: логинимся как User A, берём ID его ресурса, логинимся как User B и запрашиваем /api/orders/{idUserA} — должен получить 403, а не данные. Это Broken Object Level Authorization (BOLA) — #1 в OWASP API Security Top 10. Тестируем: все эндпоинты с ID параметрами, GET/PUT/PATCH/DELETE чужих ресурсов, nested объекты (order → items чужого order). Автоматизация: dual account testing.
Что такое IDOR уязвимость и как тестировать?
Senior
378 просмотровAFK Offer AI
Напишите тест для pagination: проверьте что GET /api/products?page=1&limit=10 возвращает правильную структуру (items массив, total, has_next_page), и что page=2 возвращает следующие элементы.