Broken Object Level Authorization(BOLِِِِA)
what is:
number one on the list
It's the most common, and the most damaging of the API Top 10 items
manipulating IDs and gaining access to records that do not belong to you عباره عن
can lead to data loss, data manipulation, and disclosure
Example:
ان الهكر بيحاول يعمل مصادقه كسمتخدم 1 علي انه مستخدم اخر بيحاول يعمل اي معاملات وانه يوصل لمعلومات بتخص مستخدم تاني
Prevention:
يجب عمل اختبار اختراق مستمرة وشاملة، ليس مرة أو مرتين في السنة، ولكن في كل إصدار لأن هذه الأنواع من الثغرات يمكن أن تتسلل كلما تم إصدار كود جديد أو إضافة وظيفة جديدة إلى تطبيقك
امهم انه تعمل اتوميتد اسكان للتأكد من عدم الكشف عن أي ثغرات أو فجوات أو دخولها إلى لوجيك كود التطبيق الخاص بك
لا تفرض access controls في ال UI لا تفرضها في API itself. يجب عليك فرض هذا النوع من control within the application logic itself
Last updated