Круто расписано, Сергей, реально много нюансов. Авторизуемся с двумя токенами одновременно — всегда гемор, я обычно через Burp Match/Replace лезу и с куками, и с хедером параллельно. Иногда проще вручную, чтоб не запутаться в false positive. А с вложенными эндпоинтами — реально лучше методично менять ID по одному, да, так медленно, но эффективнее. В любом случае IDOR — темы жирные, без ручного анализа никак.