Cybersec Wednesday|不安全的物件授权!BOLA漏洞
不安全的物件授权(Broken Object Level Authorization, BOLA)是现时网络安全面临的一大威胁,在位列 OWASP(Open Web Application Security Project)API Security TOP 10清单中的首位。
相信你对于「对象级授权」也有基本的认识,这是一种安全措施,通常在应用在程式码层级,目的是确保只有授权的用户可以访问特定对象,例如是资料库记录还是文件。只有在用户具有明确许可权的情况下,他们才能够查看、修改或删除特定对象;而同时用户可能只被允许查看某个文件,但不允许编辑或删除它。
然而,当验证资料物件存取的授权控制存在缺陷时,就会出现BOLA漏洞。藉著这个漏洞,用户可以绕过授权,访问他们不应该看到的对象,可能包括其他用户的敏感信息或重要资讯,或能存取机密信息,后果可以非常严重。
BOLA在OWASP API Security 前十名清单中排名第一的主要原因是其严重性和广泛性。这种漏洞不仅威胁用户的数据安全,还损害了企业的声誉,有机会造成严重损害。BOLA漏洞通常由不安全的编码引起,例如未能正确验证用户输入或适当检查权限。这种漏洞可能在API设计和实施中发现,当API使用过于宽松的存取控制或API资源未得到适当保护时,就会导致BOLA的风险。
为预防BOLA漏洞,以下是几项可行的预防措施:
实行严格的权限原则:确保授予使用者的权限最小化。不要授予用户不必要的权限。每个操作都应该严格遵循最小权限原则,这样即使BOLA漏洞被利用,也会受到限制。
实施多层次的安全措施:不要仅依赖单一的授权检查。并采用多层次的安全措施,包括身份验证、授权检查、监控和记录等,以防止和检测BOLA漏洞的滥用,将风险最小化。
定期审查和更新授权策略:随著程式的发展,授权策略可能需要调整。定期审查并更新授权策略,以确保其仍然能够应对新的威胁和需求。
实施访问控制清单:建立一个授权对象的访问控制清单。例如只有在清单上的用户才能访问特定对象。可以有效降低BOLA漏洞的风险,因为只有被明确列在清单上的用户才能够访问对象。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为你解决,如果你怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
关于 Cybersec Wednesday
每逢星期三,HKIRC网络安全团队都会挑选一个网络安全主题,以文章、贴士或最佳实践的形式与大家分享。 请留意每周三的更新,定时掌握最新鲜的网络安全资讯。
