broken object level authorization
-
Статья Защита API от BOLA и IDOR: паттерны авторизации, policy-as-code и чеклист для разработчика
Атакующий подставил чужой идентификатор в запрос, сервер вернул данные. Без эксплойта, без обхода WAF - просто GET /api/orders/1254 с чужим ID. По данным Snyk, это классический сценарий Broken Object Level Authorization, уязвимости номер один в OWASP API Security Top 10. Масштаб последствий -...- Сергей Попов
- Тема
- api security checklist разработчик attribute-based access control api opa open policy agent owasp api security top 10 policy-as-code авторизация api авторизация api паттерны защита api от bola и idor
- Ответы: 0
- Раздел: Безопасность веб-приложений
-
Статья BOLA (Broken Object Level Authorization): Практические эксплойты и защита API (OWASP API Top 10)
API сегодня - это фактически основа большинства приложений. Мобильные клиенты, веб-интерфейсы, микросервисы внутри инфраструктуры - всё общается через HTTP-endpoint’ы. Поэтому уязвимости на уровне API обычно имеют прямой доступ к данным. Не через обходы интерфейса, а напрямую через запросы. И...- Luxkerr
- Тема
- api security bola bola api burp suite bola graphql bola idor api owasp api top 10
- Ответы: 1
- Раздел: Безопасность веб-приложений