BFLA — Broken Function Level Authorization

API Privilege Escalation

Principe

BFLA survient quand une API n'applique pas correctement les restrictions de rôle sur des fonctions sensibles, contrairement à BOLA qui concerne un objet précis.

# Endpoint admin découvert par fuzzing
GET /api/v1/admin/users
DELETE /api/v1/admin/users/1337

# Tester avec un compte normal :
curl -H "Authorization: Bearer USER_TOKEN" \
  -X DELETE https://api.target.com/admin/users/1337

Défenses

Vérification du rôle à CHAQUE endpoint sensible côté serveur · Principe du moindre privilège · Tests d'autorisation automatisés en CI/CD