Cybersec Wednesday|不安全的物件授權!BOLA漏洞

不安全的物件授權(Broken Object Level Authorization, BOLA)是現時網絡安全面臨的一大威脅,在位列 OWASP(Open Web Application Security Project)API Security TOP 10清單中的首位。

相信你對於「對象級授權」也有基本的認識,這是一種安全措施,通常在應用在程式碼層級,目的是確保只有授權的用戶可以訪問特定對象,例如是資料庫記錄還是文件。只有在用戶具有明確許可權的情況下,他們才能夠查看、修改或刪除特定對象;而同時用戶可能只被允許查看某個文件,但不允許編輯或刪除它。

然而,當驗證資料物件存取的授權控制存在缺陷時,就會出現BOLA漏洞。藉著這個漏洞,用戶可以繞過授權,訪問他們不應該看到的對象,可能包括其他用戶的敏感信息或重要資訊,或能存取機密信息,後果可以非常嚴重。

BOLA在OWASP API Security 前十名清單中排名第一的主要原因是其嚴重性和廣泛性。這種漏洞不僅威脅用戶的數據安全,還損害了企業的聲譽,有機會造成嚴重損害。BOLA漏洞通常由不安全的編碼引起,例如未能正確驗證用戶輸入或適當檢查權限。這種漏洞可能在API設計和實施中發現,當API使用過於寬鬆的存取控制或API資源未得到適當保護時,就會導致BOLA的風險。

為預防BOLA漏洞,以下是幾項可行的預防措施:

實行嚴格的權限原則:確保授予使用者的權限最小化。不要授予用戶不必要的權限。每個操作都應該嚴格遵循最小權限原則,這樣即使BOLA漏洞被利用,也會受到限制。

實施多層次的安全措施:不要僅依賴單一的授權檢查。並採用多層次的安全措施,包括身份驗證、授權檢查、監控和記錄等,以防止和檢測BOLA漏洞的濫用,將風險最小化。

定期審查和更新授權策略:隨著程式的發展,授權策略可能需要調整。定期審查並更新授權策略,以確保其仍然能夠應對新的威脅和需求。

實施訪問控制清單:建立一個授權對象的訪問控制清單。例如只有在清單上的用戶才能訪問特定對象。可以有效降低BOLA漏洞的風險,因為只有被明確列在清單上的用戶才能夠訪問對象。

網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為你解決,如果你懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。

關於 Cybersec Wednesday

每逢星期三,HKIRC網絡安全團隊都會挑選一個網絡安全主題,以文章、貼士或最佳實踐的形式與大家分享。 請留意每週三的更新,定時掌握最新鮮的網絡安全資訊。

更多文章