Путь nodejs 6 модулей

Node.js IDOR: От Sequential ID до Role Bypass

Фундаментальный курс по Insecure Direct Object Reference в Node.js/Express. Изучите механику горизонтальной и вертикальной эскалации привилегий, защитные паттерны через middleware и Sequelize/Prisma, автоматизацию обнаружения через SAST/DAST. Практика на 3 production-ready лабах.

Модуль 1: Введение в IDOR

AuthN vs AuthZ в Express, обзор защиты

0/3

1. IDOR: аутентификация vs авторизация
Pro
2. Обзор методов защиты
Pro
3. Тест: Основы IDOR
Pro

Модуль 2: Горизонтальный IDOR

Доступ к данным других пользователей через sequential ID

0/4

1. Горизонтальный IDOR: sequential ID
Pro
2. Защита: Authorization middleware (user_id check)
Pro
3. Тест: Горизонтальный IDOR
Pro
EXP FIX
4. Практика: Horizontal IDOR
easy
Pro

Модуль 3: UUID и непредсказуемые ID

Предсказуемые vs криптографические ID

0/4

1. Предсказуемые ID и их замена
Pro
2. Защита: uuid v4
Pro
3. Тест: UUID
Pro
EXP FIX
4. Практика: UUID IDOR
hard
Pro

Модуль 4: Вертикальный IDOR

Эскалация привилегий через admin endpoints

0/5

1. Вертикальный IDOR: admin endpoints
Pro
2. Защита: Role-based middleware
Pro
3. Тест: Вертикальный IDOR
Pro
EXP FIX
4. Практика: Vertical IDOR
easy
Pro
5. Подмена роли в cookie: почему base64 — это не защита
Pro

Модуль 5: Итоговый обзор

RBAC-паттерны в Express, реальные CVE

0/2

1. RBAC-паттерны и реальные CVE
Pro
2. Тест: Итоговый обзор
Pro

Модуль 6: Defense-in-Depth и автоматизация

Многослойная защита и автоматическое обнаружение IDOR через SAST/DAST/Runtime

0/3

1. Defense-in-Depth: многослойная защита от IDOR
Pro
2. Автоматизация: SAST, DAST, CI/CD
Pro
3. Финальный тест: IDOR в Node.js
Pro