security-audit
Installation
SKILL.md
Security Audit
OWASP Top 10
A01 - Broken Access Control
Verificar que autenticado ≠ autorizado. Cada endpoint verifica que el recurso pertenece al usuario.
// ❌ Solo verifica que está autenticado
app.delete('/posts/:id', authenticate, async (req, res) => {
await db.post.delete({ where: { id: req.params.id } })
})