BOLA в API: как одна забытая проверка превращается в утечку, takeover и privilege escalationBOLA остаётся одной из самых опасных уязвимостей API: сервер видит валидный токен, принимает запрос, но не проверяет, имеет ли пользователь право работать именно с этим объектом. В результате одна подмена ID может открыть доступ к чужим данным, настройкам, документам или даже к действиям от имени другого пользователя.
В статье...BOLA (Broken Object Level Authorization): Практические эксплойты и защита API (OWASP API Top 10)
Источник: codeby.net