Security

Broken Function Level Authorization (BFLA) – O que é?

O BFLA, traduzido para o português como Autorização Quebrada a Nível de Função, é outro tipo de Quebra de Controle de Acesso. É parecido com o BOLA, porém, enquanto o alvo do BOLA são os objetos com que a API interage, o alvo do BFLA são as funções da API. Para explorar um caso desse tipo, o atacante acessa APIs que executam ações às quais seu usuário não tem privilégio, por exemplo, acessar uma API administrativa tendo privilégio de usuário comum.

Também é um caso de BFLA um usuário anônimo executar ações restritas apenas a usuários autenticados. Um usuário acessar recursos aos quais ele não teria privilégio em sua própria conta gera apenas prejuízos localizados na receita da empresa, porém, se um usuário que não é administrador obter privilégios administrativos, ele pode gerar um dano muito maior, ao poder visualizar informações, modificar e até excluir outras contas. Outra forma grave de explorar essa vulnerabilidade é acessar objetos de outras contas que seriam só para visualização, como comentários de redes sociais, e poder modificá-los ao alterar o método da requisição (ex.: substituir GET por DELETE).

Quer conhecer as TOP 10 ameaças para APIs da OWASP? Baixe nosso Ebook Gratuito: API Security – Guia para Iniciantes

Carlos Eduardo

Share
Publicado por
Carlos Eduardo

Publicações recentes

Como Reduzir Custos em um Cenário de Alta do Dólar

A gestão de custos é um dos maiores desafios enfrentados pelas empresas, especialmente quando esses…

4 months atrás

Ameaças Comuns de Segurança para Startups

As startups, impulsionadas por inovação e agilidade, navegam em um cenário digital vibrante, mas também…

6 months atrás

A Importância da Segurança Cibernética em Startups

A segurança cibernética é crucial para startups, independentemente do seu tamanho ou setor de atuação.…

7 months atrás

O que é Gerenciamento de Vulnerabilidades?

O gerenciamento de vulnerabilidades é o processo de identificar, avaliar, tratar e relatar vulnerabilidades de…

8 months atrás

DNS Cache Poisoning: Entendendo a ameaça cibernética e suas consequências

O DNS Cache Poisoning, ou envenenamento de cache DNS, é uma forma de ataque cibernético…

8 months atrás

DNS Hijacking: Entendendo a Ameaça

O DNS hijacking é um ataque malicioso que envolve a alteração das configurações de DNS…

8 months atrás