A. 失效的对象级别授权(BOLA),即API未对用户可访问的对象ID进行严格校验,导致攻击者可通过枚举ID越权获取他人数据。
B. SQL注入漏洞,攻击者通过在API请求参数中注入恶意SQL语句,直接操纵数据库窃取数据。
C. 安全配置错误,如API服务器未禁用目录列表功能,导致敏感文件被公开访问。
D. 不安全的反序列化,攻击者通过提交恶意序列化对象,触发服务器执行任意代码。
🤔
正确答案与解析在下方
想一想你的答案是什么? 准备好了再往下滑动 👇
📌 答案与解析
正确答案:A
✅ A. 失效的对象级别授权(BOLA),即API未对用户可访问的对象ID进行严格校验,导致攻击者可通过枚举ID越权获取他人数据。
B. SQL注入漏洞,攻击者通过在API请求参数中注入恶意SQL语句,直接操纵数据库窃取数据。
C. 安全配置错误,如API服务器未禁用目录列表功能,导致敏感文件被公开访问。
D. 不安全的反序列化,攻击者通过提交恶意序列化对象,触发服务器执行任意代码。
答案解析
正确答案是A。题干描述的攻击方式是通过批量查询接口遍历用户ID,即攻击者利用API未对用户身份或资源ID做细粒度授权检查,属于典型的失效的对象级别授权(BOLA)漏洞,在OWASP API Security Top 10中排名第一。B选项SQL注入依赖注入恶意SQL语句,题干未提及;C选项安全配置错误通常涉及默认配置暴露;D选项不安全的反序列化涉及代码执行,与题干描述的遍历ID行为不符。因此,A选项最贴切。