Как тестировать массовое присвоение (mass assignment)?

Mass assignment — когда API принимает все поля из запроса без фильтрации. Атака: при регистрации добавляем поле "role": "admin" в тело запроса — и вдруг стали admin. Или при обновлении профиля отправляем "balance": 999999. Тестируем: добавляем в запрос дополнительные поля (role, isAdmin, balance, subscriptionTier), проверяем что они игнорируются. Защита на сервере — allowlist разрешённых полей, не принимать все переданные поля.