API 安全专题（17）| OWASP API TOP1：对象级授权损坏 (BOLA)

文章预览

对象级授权损坏 (BOLA) 漏洞是 OWASP API 安全前 10 名中排名第一的 API 安全威胁。 对象级授权损坏（Broken Object Level Authorization，简称BOLA） 是指在API安全中，由于验证数据对象访问的授权控制存在缺陷，导致用户可以访问其他用户的数据。 攻击者可以通过篡改请求中发送的ID来利用缺乏适当访问控制的API端点，从而访问到他们不应该能访问的特定数据对象。 01 什么是对象级授权损坏(BOLA)？ 对象级授权损坏 是一种访问控制漏洞， 允许攻击者对他们未授权的资源执行操作。 API，无论是 RESTful 还是 GraphQL，通常都遵循 CRUD（创建、读取、更新、删除）模型进行资源操作。 当攻击者可以创建、读取、更新或删除属于另一个用户的资源时，就会发生BOLA。 02 损坏的对象级授权漏洞示例 根据 API 的业务逻辑， BOLA漏洞可能导致数据泄露、账户接管、数据丢失或 ………………………………