Все пути
Путь nodejs 6 модулей

Node.js Access Control: RBAC, IDOR и Defense-in-Depth в Express

Фундаментальный курс по контролю доступа в Node.js на Express. Изучите Forced Browsing к админ-панелям, горизонтальную эскалацию (IDOR) и обход URL-нормализации. Защита через middleware авторизации, ownership checks, path normalization, RBAC/ABAC через accesscontrol/CASL и автоматизацию обнаружения уязвимостей.

01

Модуль 1: Введение в Access Control

OWASP Broken Access Control, middleware chain в Express и общая стратегия контроля доступа.

0/3
  • 1. Broken Access Control — OWASP
    Pro
  • 2. Express middleware chain и авторизация
    Pro
  • 3. Проверка знаний
    Pro
02

Модуль 2: Forced Browsing

Прямой доступ к /admin без проверки роли и защита через role middleware.

0/4
  • 1. Атака — прямой доступ к административным URL
    Pro
  • 2. Защита — role middleware
    Pro
  • 3. Проверка знаний
    Pro
  • EXP FIX
    4. Практика — Forced Browsing
    easy
    Pro
03

Модуль 3: Horizontal Access Control (IDOR)

Доступ к данным другого пользователя через /users/:id/data и защита через ownership middleware и row-level filtering.

0/4
  • 1. Атака — горизонтальная эскалация привилегий
    Pro
  • 2. Защита — ownership check middleware
    Pro
  • 3. Проверка знаний
    Pro
  • EXP FIX
    4. Практика — горизонтальный IDOR
    medium
    Pro
04

Модуль 4: URL Bypass

Обход проверок через регистр, trailing slash и кодирование URL. Защита через нормализацию пути и Router-based авторизацию.

0/4
  • 1. Атака — обход через регистр, слэши и кодирование
    Pro
  • 2. Защита — нормализация пути в Express.Router
    Pro
  • 3. Проверка знаний
    Pro
  • EXP FIX
    4. Практика — URL Bypass
    easy
    Pro
05

Модуль 5: Итоговый обзор

RBAC в Express, библиотеки accesscontrol и CASL, реальные CVE и единый чек-лист контроля доступа.

0/2
  • 1. Итоговый обзор — RBAC, CASL и реальные CVE
    Pro
  • 2. Финальный тест по модулям 1-5
    Pro
06

Модуль 6: Defense-in-Depth и автоматизация

Многослойная защита от Access Control уязвимостей. SAST через ESLint и Semgrep, DAST через ZAP и Nuclei, CI/CD pipeline и метрики мониторинга.

0/3
  • 1. Defense-in-Depth — многослойная защита
    Pro
  • 2. Автоматизация — SAST, DAST, CI/CD
    Pro
  • 3. Финальный тест по Defense-in-Depth
    Pro
🚧 Сайт в разработке. Полный функционал пока недоступен. Все вопросы — support@hackandfix.ru