GET /api/orders/1254 с чужим ID — и сервер отдал данные. Без эксплойта, без обхода WAF. CVE-2019-16097 в Harbor позволяла создать admin-аккаунт одним неавторизованным вызовом. BOLA возглавляет OWASP API Security Top 10 — и большинство команд до сих пор...Защита API от BOLA и IDOR: паттерны авторизации, policy-as-code и чеклист для разработчика
Источник: codeby.net