每日益智,检验你的信息安全知识储备
Q
今日挑战 · API安全漏洞与防护措施
【单选题】
容易
某公司开发了一款智能家居APP,用户可通过API远程控制家中的网联摄像头。安全测试发现,该API未对用户身份进行有效验证,导致攻击者可通过遍历用户ID的方式获取其他用户的摄像头实时画面。请问,该漏洞最符合以下哪种API安全风险类别?
A.
A. 失效的对象级别授权(BOLA)
B.
B. SQL注入漏洞
C.
C. 安全配置错误
D.
D. 资源耗尽与速率限制不足
🤔
正确答案与解析在下方
想一想你的答案是什么?
准备好了再往下滑动 👇
📌 答案与解析
正确答案:A
✅ A.
A. 失效的对象级别授权(BOLA)
B.
B. SQL注入漏洞
C.
C. 安全配置错误
D.
D. 资源耗尽与速率限制不足
答案解析
该漏洞是由于API未对用户身份进行有效验证,导致攻击者可通过遍历用户ID(对象ID)访问其他用户的资源(摄像头画面)。这符合OWASP API Security Top 10中‘失效的对象级别授权(BOLA)’的定义:API未能正确验证用户是否具有访问特定对象(如数据库记录、文件、设备)的权限。选项B(SQL注入)涉及数据库查询篡改,选项C(安全配置错误)范围更广,选项D(资源耗尽)与限流相关,均不直接对应题干场景。
小贴士
关注「数据安全早知道」公众号,每天持续更新!
答题不在于正确率,而在于理解背后的安全原理。