Tests API BOLA / IDOR

Ce que cela fait

Cette compétence fournit une méthodologie complète et reproductible pour tester les API contre les failles de Broken Object Level Authorization (BOLA / IDOR). Elle guide les évaluateurs à travers la découverte des points de terminaison, la cartographie des ID d'objets, la capture de lignes de base authentifiées, les vérifications d'escalade de privilèges horizontale et verticale, les techniques avancées (pollution de paramètres, abus d'ID par lot, ID relay GraphQL) et l'automatisation avec Autorize de Burp. Les résultats incluent des cas de test et un modèle de rapport PoC.

Quand l'utiliser

Activez cette compétence lors d'évaluations de sécurité d'API SaaS multi-tenants, d'API mobiles/backend, ou de tout service exposant des identifiants d'objets (ID numériques, UUID, slugs). Requis pour valider les contrôles OWASP API1:2023 ou implémenter des tests d'autorisation dans un pipeline CI/CD. Important : utiliser uniquement avec une autorisation écrite explicite.

Ce qui est inclus

• Scripts : extraits Python pour la capture de ligne de base et les vérifications automatisées (intégrés dans SKILL.md / dossier scripts)
• Références : outils recommandés (Burp Suite + Autorize, OWASP ZAP, Postman, ffuf) et listes de contrôle de remédiation
• Instructions : flux de travail étape par étape pour la découverte, les tests, les techniques avancées et le formatage du rapport

Agents compatibles

Conçu pour les agents d'automatisation et de test de sécurité (outils capables d'exécuter des scripts et d'interagir avec des API HTTP), et se marie bien avec les tests manuels assistés par Burp et les vérifications de sécurité basées sur la CI.