Глубокое погружение в Insecure Direct Object Reference (IDOR) в Go-приложениях. Вы научитесь находить и эксплуатировать уязвимости горизонтального и вертикального доступа, разберете опасность числовых ID и UUID, освоите Mass Assignment и внедрите надежную систему авторизации на уровне ресурсов.
Разбираемся с разницей между входом в аккаунт и правом доступа к конкретному файлу или записи. Понимаем, почему IDOR — это прежде всего ошибка авторизации.
Изучаем классические уязвимости в Go-API, позволяющие читать данные других пользователей того же уровня привилегий. Практикуемся на реальной лабе.
Разбираем, почему замена числовых ID на UUID не является серебряной пулей, и как правильно комбинировать непредсказуемые идентификаторы с авторизацией.
Атаки на повышение привилегий: как обычный пользователь становится администратором через манипуляцию ID и ролевыми эндпоинтами.
Изучаем уязвимости массового присваивания, когда пользователь модифицирует поля объекта, к которым не должен иметь доступа — роль, баланс, статус.
Синтез всех изученных типов IDOR, сравнительные таблицы, реальные CVE и чек-лист безопасности для Go-приложений.