BOLAとは【用語集詳細】
BOLAはBroken Object Level Authorizationの略語で、日本語では壊れたオブジェクトレベル認可などと訳されます。
BOLAはWebアプリケーションにおけるAPI脆弱性の1つであり、Webアプリケーションセキュリティを推進するOWASPにおいても、APIの脆弱性トップ10に指定されています。
APIにおいては、ユーザーがどのオブジェクト(ファイルなど)にアクセスできるかを規定するオブジェクト・レベル認可が用いられます。この認可方式は、意図せぬユーザーが特定のオブジェクトを改ざん・削除することを防止します。
しかし、オブジェクト・レベル認可が適切に実装されていない場合、攻撃者は、本来意図されていないオブジェクトへのアクセスが可能になり、機密の漏洩やシステムの妨害を引き起こします。
攻撃者は、APIを利用するためのリソースIDを細工するだけで、この脆弱性を悪用することが可能になります。
BOLAの対策の大半は、Webアプリケーション開発の段階で適切なセキュリティ対策(認可メカニズムなど)を入れこむことです。
