O BFLA, traduzido para o português como Autorização Quebrada a Nível de Função, é outro tipo de Quebra de Controle de Acesso. É parecido com o BOLA, porém, enquanto o alvo do BOLA são os objetos com que a API interage, o alvo do BFLA são as funções da API. Para explorar um caso desse tipo, o atacante acessa APIs que executam ações às quais seu usuário não tem privilégio, por exemplo, acessar uma API administrativa tendo privilégio de usuário comum.
Também é um caso de BFLA um usuário anônimo executar ações restritas apenas a usuários autenticados. Um usuário acessar recursos aos quais ele não teria privilégio em sua própria conta gera apenas prejuízos localizados na receita da empresa, porém, se um usuário que não é administrador obter privilégios administrativos, ele pode gerar um dano muito maior, ao poder visualizar informações, modificar e até excluir outras contas. Outra forma grave de explorar essa vulnerabilidade é acessar objetos de outras contas que seriam só para visualização, como comentários de redes sociais, e poder modificá-los ao alterar o método da requisição (ex.: substituir GET por DELETE).
Quer conhecer as TOP 10 ameaças para APIs da OWASP? Baixe nosso Ebook Gratuito: API Security – Guia para Iniciantes
O Syslog foi originalmente desenvolvido como parte do sistema operacional BSD, mas muitos outros sistemas…
Uma solução de Segurança da Informação e Gestão de Eventos (SIEM) é fundamental para manter…
Quer você saiba ou não, se você navega na internet, você interagiu com uma API.…
Ransomware é um malware que emprega criptografia para manter as informações da vítima sob resgate.…
Os hackers éticos desempenham um papel fundamental na segurança cibernética, usando suas habilidades técnicas para…
Os ataques de ransomware são um pesadelo digital que parece saído de um filme, mas…