BOLA et BFLA — Vulnérabilités Critiques des APIs

BOLA — Broken Object Level Authorization

BOLA (OWASP API Security #1) est l'équivalent de l'IDOR pour les APIs. Elle survient quand une API ne vérifie pas que l'utilisateur a le droit d'accéder à l'objet demandé via son identifiant.

Exemple : GET /api/orders/12345 renvoie la commande 12345 sans vérifier que l'utilisateur authentifié en est le propriétaire.

BFLA — Broken Function Level Authorization

BFLA (OWASP API Security #5) survient quand une API expose des fonctions administratives à des utilisateurs non autorisés. Un utilisateur standard peut accéder à des endpoints admin comme DELETE /api/users/456 ou GET /api/admin/reports.

Différence BOLA vs BFLA

BOLA = accès à des données d'un autre utilisateur. BFLA = accès à des fonctions non autorisées (souvent admin).

Impact

Exfiltration massive de données, modification/suppression de comptes tiers, escalade de privilèges vers l'administration.

Tests en pentest

Interception des requêtes API (Burp Suite), manipulation des identifiants d'objets, test de tous les endpoints avec différents niveaux de privilèges, fuzzing des paramètres d'autorisation.

Remédiation

Validation systématique côté serveur à chaque appel API, liste blanche d'endpoints par rôle, logging et alerting sur les accès non autorisés.