BOLAとIDORの違いと原因の分析:コード例と共に
まず、BOLAとは、ビジネスオブジェクトレベルの認可の欠陥を指します。これは、アプリケーションが適切な認可チェックを行わずに、ユーザーがアクセスできるべきではないビジネスオブジェクトにアクセスできる状態を指します。一般的な原因は、アプリケーションがオブジェクトIDなどのクライアントからの入力を信頼していることです。攻撃者は、IDを改ざんするなどして、本来アクセスできないオブジェクトにアクセスすることができます。>>More
まず、BOLAとは、ビジネスオブジェクトレベルの認可の欠陥を指します。これは、アプリケーションが適切な認可チェックを行わずに、ユーザーがアクセスできるべきではないビジネスオブジェクトにアクセスできる状態を指します。一般的な原因は、アプリケーションがオブジェクトIDなどのクライアントからの入力を信頼していることです。攻撃者は、IDを改ざんするなどして、本来アクセスできないオブジェクトにアクセスすることができます。>>More