BOLA — Broken Object Level Authorization

API #1 OWASP IDOR API

Qu'est-ce que BOLA ?

BOLA est la vulnérabilité #1 du OWASP API Security Top 10. Équivalent d'IDOR pour les APIs : pas de vérification que l'utilisateur a le droit d'accéder à l'objet demandé.

Exploitation

# Connecté en tant que user 1337
GET /api/v1/users/1337/orders   <- mes commandes (OK)
GET /api/v1/users/1338/orders   <- commandes d un autre !

GET /api/v1/orgs/55/projects/12/secrets
# Changer 55 par d autres IDs

Défenses

Vérifier systématiquement la propriété de l'objet côté serveur · Ne jamais se fier à l'obscurité d'un UUID seule · Logs et alertes sur les patterns d'énumération