Проклятье знаний: почему разработчики не видят дыр, которые видят хакеры?

Казалось бы, контроль доступа — это та самая база, которую проходят на первом курсе. Мы умеем создавать роли, раздавать права и проверять сессии. Мы даже знаем, что такое RBAC (Role-Based Access Control) и чем оно отличается от ABAC. Всё это — наша рутина. И всё же: по статистике OWASP Top 10 2025 года, Broken Access Control (BAC) снова на первом месте. Не SQL-инъекции, не XSS, не логические бомбы. А именно дыры в доступе. Это значит одну простую, но обидную вещь: мы не победили эту проблему технически. Мы просто научились с ней мириться. Мы закрываем конкретные CVE, фиксим конкретные баг-репорты, но класс уязвимости как был на вершине, так и остался. И это пора менять. В этом докладе я хочу поговорить не о том, какие бывают уязвимости, а о том, почему они возникают — причём возникают у умных, опытных, внимательных разработчиков. И почему хакеры видят то, чего не видим мы. Я покажу, что Broken Access Control — это не «магия хакеров», а наши с вами мелкие недосмотры, которые превращаются в большие проблемы.

Доклад будет интересен широкой аудитории: разработчикам, аналитикам, тестировщикам.