破損したオブジェクト レベルの認証 (BOLA) は、アプリケーションまたはそのアプリケーション プログラミング インターフェイス (API) が、特定のデータ オブジェクトにアクセスするためのユーザーの認証を適切に検証できない場合に発生する重大なセキュリティ脆弱性です。この欠陥は、アプリケーションのセキュリティに重大なリスクをもたらす、より広範な認証の問題のカテゴリの一部です。BOLA により、悪意のある行為者は認証メカニズムを回避して機密データにアクセスしたり、通常は許可されていない不正なアクションを実行したりすることができます。

BOLA の背後にある概念はシンプルですが、アプリケーションやプラットフォームのセキュリティに重大な影響を及ぼします。たとえば、個人データ、財務の詳細、会社の専有情報などの機密情報を含むドキュメントへのアクセスがユーザーに誤って許可された場合、この情報が権限のない個人によって悪用されると、重大な結果を招く可能性があります。このようなデータの侵害は、金銭的損失、評判の失墜、法的責任、その他の深刻な結果につながる可能性があります。

BOLA は広く普及しており、比較的簡単に悪用できるため、特に懸念されています。攻撃者は、URL の操作、リクエスト パラメータの変更、不適切なアクセス制御の悪用など、さまざまな手法を使用して、許可されていないデータ オブジェクトを識別してアクセスできます。承認チェックをバイパスすると、機密情報にアクセス、変更、または削除できるため、データ侵害 やその他のセキュリティ インシデントにつながります。

Web セキュリティ分野の著名な組織である Open Web Application Security Project (OWASP) Foundation は、この脆弱性の重要性を認識しています。2023 年の API セキュリティ リスク のトップ 10 リストでは、BOLA が第 1 位のリスクとしてランク付けされており、その蔓延と悪用される可能性が強調されています。

BOLA のリスクを軽減するには、開発者とセキュリティ専門家がオブジェクト レベルで堅牢な承認チェックを実装し、ユーザーが明示的に許可されているデータ オブジェクトにのみアクセスできるようにする必要があります。定期的なセキュリティ評価と承認設計のベスト プラクティスの順守も、BOLA の脆弱性を防ぐ上で重要です。