今日挑战 · API安全漏洞与防护措施

【单选题】

中等

一家电子商务平台因未对公开的API接口进行有效的访问控制，导致攻击者通过遍历用户ID参数的方式，批量获取了超过百万条用户个人信息（包括姓名、电话、地址）。该事件主要利用了以下哪种API安全漏洞？

A. SQL注入漏洞

B. 失效的对象级别授权（BOLA）

C. 跨站脚本攻击（XSS）

D. 安全配置错误

🤔

正确答案与解析在下方

想一想你的答案是什么？
准备好了再往下滑动 👇

📌 答案与解析

正确答案：B

A. SQL注入漏洞

✅ B. 失效的对象级别授权（BOLA）

C. 跨站脚本攻击（XSS）

D. 安全配置错误

答案解析

该事件中攻击者通过遍历用户ID参数批量获取他人数据，核心问题在于API接口未验证当前请求用户是否有权访问指定ID对应的资源，属于OWASP API Security Top 10中排名第一的“失效的对象级别授权（BOLA）”漏洞。A选项SQL注入需通过构造恶意SQL语句实现，题干未提及相关特征；C选项XSS涉及前端脚本注入，与后端数据遍历无关；D选项安全配置错误范围较广，但无法精准描述该特定场景。因此，B为正确选项。

相关法规：《个人信息保护法》第六条、第十条