%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 用語集
  4. BOLAとは【用語集詳細】

BOLAとは【用語集詳細】

  • LINEで送る
  • このエントリーをはてなブックマークに追加
BOLAとは【用語集詳細】

脆弱性診断サービスBOLABroken Object Level Authorizationの略語で、日本語では壊れたオブジェクトレベル認可などと訳されます。
BOLAはWebアプリケーションにおけるAPI脆弱性の1つであり、Webアプリケーションセキュリティを推進するOWASPにおいても、APIの脆弱性トップ10に指定されています。
APIにおいては、ユーザーがどのオブジェクト(ファイルなど)にアクセスできるかを規定するオブジェクト・レベル認可が用いられます。この認可方式は、意図せぬユーザーが特定のオブジェクトを改ざん・削除することを防止します。

しかし、オブジェクト・レベル認可が適切に実装されていない場合、攻撃者は、本来意図されていないオブジェクトへのアクセスが可能になり、機密の漏洩やシステムの妨害を引き起こします。
攻撃者は、APIを利用するためのリソースIDを細工するだけで、この脆弱性を悪用することが可能になります。
BOLAの対策の大半は、Webアプリケーション開発の段階で適切なセキュリティ対策(認可メカニズムなど)を入れこむことです。



  • LINEで送る
  • このエントリーをはてなブックマークに追加