학습 목표Broken Access Control이 OWASP Top 10 1위 취약점 클래스임을 설명할 수 있다.IDOR(Insecure Direct Object Reference)에서 객체 ID만 바꿔 타인 리소스에 접근하는 방식을 설명할 수 있다.수평(같은 role·다른 리소스)과 수직(낮은 role·높은 권한 API) 권한 상승을 구분할 수 있다.Mass assignment·missing function-level access control·forced browsing 패턴을 설명할 수 있다.서버 측 매 요청 검증·deny by default·자동 IDOR 테스트로 방어할 수 있다.문제 상황로그인한 일반 사용자가 GET /api/invoices/1001 → 200 + 남의 청구서invoice_id만..