IDOR (Insecure Direct Object Reference) — можно получить чужой объект просто сменив ID. Тест: логинимся как User A, берём ID его ресурса, логинимся как User B и запрашиваем /api/orders/{idUserA} — должен получить 403, а не данные. Это Broken Object Level Authorization (BOLA) — #1 в OWASP API Security Top 10. Тестируем: все эндпоинты с ID параметрами, GET/PUT/PATCH/DELETE чужих ресурсов, nested объекты (order → items чужого order). Автоматизация: dual account testing.
Что такое IDOR уязвимость и как тестировать?
Senior
377 просмотровAFK Offer AI
Напишите curl команду для: POST запрос на /api/auth/login с JSON телом {"email": "test@test.com", "password": "secret"} и заголовком Content-Type: application/json.