BOLA(Broken Object Level Authorization)는 애플리케이션 또는 해당 API(애플리케이션 프로그래밍 인터페이스)가 특정 데이터 객체에 액세스하기 위한 사용자 인증을 적절하게 확인하지 못할 때 발생하는 중요한 보안 취약점입니다. 이 결함은 애플리케이션 보안에 심각한 위험을 초래하는 광범위한 인증 문제 범주의 일부입니다. BOLA를 사용하면 악의적인 행위자가 인증 메커니즘을 우회하여 민감한 데이터에 액세스하거나 일반적으로 허용되지 않는 무단 작업을 수행할 수 있습니다.
BOLA의 기본 개념은 간단하지만 애플리케이션이나 플랫폼의 보안에 깊은 영향을 미칩니다. 예를 들어, 사용자에게 개인 데이터, 재무 세부정보, 독점 회사 정보 등 민감한 정보가 포함된 문서에 대한 액세스 권한을 잘못 부여한 경우, 승인되지 않은 개인이 이 정보를 악용하면 결과는 심각할 수 있습니다. 그러한 데이터의 위반은 금전적 손실, 명예 훼손, 법적 결과 및 기타 심각한 결과를 초래할 수 있습니다.
BOLA는 널리 퍼져 있고 상대적으로 악용되기 쉽기 때문에 특히 우려됩니다. 공격자는 URL 조작, 요청 매개변수 수정, 부적절한 액세스 제어 악용 등 다양한 기술을 사용하여 승인되지 않은 데이터 개체를 식별하고 액세스할 수 있습니다. 승인 확인을 우회하면 민감한 정보에 액세스, 수정 또는 삭제할 수 있어 다음과 같은 일이 발생할 수 있습니다. 데이터 유출 및 기타 보안 사고.
웹 보안 분야의 저명한 조직인 OWASP(Open Web Application Security Project) 재단은 이 취약점의 중요성을 인식했습니다. 상위 10위 목록에 API 보안 위험 2023년에는 BOLA가 1위 위험으로 선정되어 그 보급률과 악용 가능성이 강조되었습니다.
BOLA의 위험을 완화하기 위해 개발자와 보안 전문가는 개체 수준에서 강력한 권한 부여 확인을 구현하여 사용자가 명시적인 권한이 있는 데이터 개체에만 액세스할 수 있도록 해야 합니다. 정기적인 보안 평가와 인증 설계 모범 사례 준수도 BOLA 취약점을 예방하는 데 중요합니다.