# Sprint 23 — adversarial bug-hunt

Цель: атаковать систему как злонамеренный пользователь. После 22 спринтов
система зрелая, но скрытые баги ТОЧНО есть. Найти как можно больше,
сразу починить.

Старт: 2026-06-08. Исполнитель: Claude Opus 4.7.

## Категории атак

- [ ] **1. Race conditions** — параллельные POST на posting-endpoints
- [ ] **2. Auth edge** — JWT tampering / replay / SuperAdmin override
- [ ] **3. Multi-tenant via URL** — cross-org доступ через прямой ID
- [ ] **4. Validation bypass** — SQL/XSS/path-traversal/unicode
- [ ] **5. Numeric/decimal edge** — отрицательные, overflow, precision
- [ ] **6. Stock invariant** — 100 параллельных продаж
- [ ] **7. DOS protection** — SignalR flood, large bodies, slowloris
- [ ] **8. Hangfire-jobs safety** — admin-vs-superadmin, cross-tenant

Каждый найденный баг → `reports/bugs-found-{n}.md` (github-style issue),
потом fix, потом retest.

## Журнал

### 2026-06-08 старт
Sprint 22 закрыт (7/7 ✓). Поехали по adversarial-attacks.