BOLA — Broken Object Level Authorization
★★★★★
Qu'est-ce que BOLA ?
BOLA est la vulnérabilité #1 du OWASP API Security Top 10. Équivalent d'IDOR pour les APIs : pas de vérification que l'utilisateur a le droit d'accéder à l'objet demandé.
Exploitation
# Connecté en tant que user 1337
GET /api/v1/users/1337/orders <- mes commandes (OK)
GET /api/v1/users/1338/orders <- commandes d un autre !
GET /api/v1/orgs/55/projects/12/secrets
# Changer 55 par d autres IDs Défenses
Vérifier systématiquement la propriété de l'objet côté serveur · Ne jamais se fier à l'obscurité d'un UUID seule · Logs et alertes sur les patterns d'énumération