BFLA — Broken Function Level Authorization
★★★★★
Principe
BFLA survient quand une API n'applique pas correctement les restrictions de rôle sur des fonctions sensibles, contrairement à BOLA qui concerne un objet précis.
# Endpoint admin découvert par fuzzing
GET /api/v1/admin/users
DELETE /api/v1/admin/users/1337
# Tester avec un compte normal :
curl -H "Authorization: Bearer USER_TOKEN" \
-X DELETE https://api.target.com/admin/users/1337 Défenses
Vérification du rôle à CHAQUE endpoint sensible côté serveur · Principe du moindre privilège · Tests d'autorisation automatisés en CI/CD