Глубокое погружение в уязвимости контроля доступа в Go-приложениях. Вы научитесь находить и эксплуатировать Forced Browsing, горизонтальное повышение привилегий, обход URL-нормализации и Referer-based доступ. Освоите RBAC, middleware-цепочки и deny-by-default архитектуру.
Основы контроля доступа в веб-приложениях — модели авторизации, типичные ошибки и принцип наименьших привилегий.
Изучаем атаку Forced Browsing — прямое обращение к скрытым страницам и API-эндпоинтам, не защищённым middleware.
Изучаем горизонтальное повышение привилегий, когда пользователь получает доступ к функциям другого пользователя того же уровня.
Изучаем обход проверок доступа через манипуляцию URL — encoding, path traversal, case sensitivity, trailing slashes.
Изучаем Referer-based контроль доступа и его обход. Итоговая таксономия, CVE и чек-лист безопасности.