BOLA(Broken Object Level Authorization)는 애플리케이션이나 해당 애플리케이션 프로그래밍 인터페이스(API)가 특정 데이터 객체에 액세스하기 위한 사용자의 권한을 적절히 확인하지 못할 때 발생하는 중요한 보안 취약성입니다. 이 결함은 애플리케이션 보안에 상당한 위험을 초래하는 더 광범위한 권한 부여 문제 범주의 일부입니다. BOLA는 악의적인 행위자가 권한 부여 메커니즘을 우회하여 민감한 데이터에 액세스하거나 일반적으로 허용되지 않는 권한 없는 작업을 수행할 수 있도록 합니다.

BOLA의 개념은 간단하지만 애플리케이션이나 플랫폼의 보안에 심오한 의미를 갖습니다. 예를 들어, 개인 데이터, 재무 세부 정보 또는 독점적인 회사 정보와 같은 민감한 정보가 포함된 문서에 대한 액세스 권한이 사용자에게 잘못 부여된 경우, 이 정보가 무단 개인에 의해 악용될 경우 심각한 결과가 발생할 수 있습니다. 이러한 데이터가 침해되면 재정적 손실, 평판 손상, 법적 결과 및 기타 심각한 결과가 발생할 수 있습니다.

BOLA는 널리 퍼져 있고 비교적 쉽게 악용될 수 있기 때문에 특히 우려스럽습니다. 공격자는 URL 조작, 요청 매개변수 수정 또는 부적절한 액세스 제어 악용과 같은 다양한 기술을 사용하여 승인되지 않은 데이터 객체를 식별하고 액세스할 수 있습니다. 승인 검사를 우회하면 민감한 정보에 액세스, 수정 또는 삭제할 수 있으며, 데이터 침해 및 기타 보안 사고로 이어질 수 있습니다.

웹 보안 분야의 저명한 조직인 Open Web Application Security Project(OWASP) Foundation은 이 취약점의 중요성을 인식했습니다. 2023년 상위 10개 API 보안 위험 목록에서 BOLA는 1위 위험으로 선정되어 널리 퍼져 있고 악용될 가능성이 있음을 강조합니다.

BOLA 위험을 완화하기 위해 개발자와 보안 전문가는 객체 수준에서 강력한 권한 부여 검사를 구현하여 사용자가 명시적 권한이 있는 데이터 객체에만 액세스할 수 있도록 해야 합니다. 정기적인 보안 평가와 권한 부여 설계의 모범 사례 준수도 BOLA 취약성을 방지하는 데 중요합니다.