Slide 17
Slide 17 text
API5:2023 機能レベルの認可不備(BFLA)
• APIエンドポイントやHTTPメソッドなどの実⾏制限を適切にできていない
• API1 BOLA ☞ リソースオブジェクトへの認可の問題
• API5 BFLA ☞ 機能実⾏の認可の問題
例: 管理者しかできない(/admin/users/all)を⼀般の⼈が実⾏できてる︕
対策
ü 各エンドポイントを機能レベルの認可の⽋陥がないかレビューする
ü 管理機能がユーザーのグループ・ロールに基づいて認可制御されてい
るか確認する
実装
GET /admin/users/all
{users:[{id:1,name:…},
{id:2,name:…},{id:3,name:…}….
.]}
id:153, name:名無し
admin: false