DAST-сканер слеп как крот, когда GET /api/v1/orders/1337 отдаёт чужой заказ при подмене ID. OWASP API Top 10 2023 — рабочая карта атакующего, а не чеклист для менеджеров.Три пункта из десяти — про контроль доступа: BOLA (подмена ID в Burp Repeater), BFLA (смена метода или пути на /admin/), Broken Object Property Level...
Практическая безопасность API: OWASP API Top 10, типовые уязвимости и методика тестирования
Источник: codeby.net