Перейти к содержанию

Защита от BOLA

В секции Защита от BOLA в Консоли управления вы можете настроить защиту от атак BOLA (IDOR) для эндпоинтов API, обнаруженных модулем Структура API.

Секция доступна при следующих условиях:

  • Включен модуль Структура API

  • Роль пользователя — Администратор или Глобальный администратор

    Секция также доступна в режиме чтения пользователям с ролью Аналитик и Глобальный аналитик.

Варианты защиты от атак типа BOLA

Доступны следующие варианты защиты от атак типа BOLA:

  • Автоматизированная защита для эндпоинтов, обнаруженных модулем Структура API. Интерфейс для настройки описан в этой инструкции.
  • Защита любого эндпоинта, защищенного нодой Вебмониторэкс. Для эндпоинта необходимо вручную настроить соответствующий триггер.

Подробнее в общей инструкции по защите от BOLA (IDOR)

Настройка автозащиты от атак типа BOLA

Если защита от BOLA включена, Вебмониторэкс будет автоматически защищать эндпоинты API, уязвимые к атакам типа BOLA. Защита распространяется только на эндпоинты, обнаруженные модулем Структура API.

Вы можете включить защиту в секции Защита от BOLA:

BOLA trigger

Затем вы можете изменить стандартное поведение Вебмониторэкс:

  • Изменить порог, после которого запросы считаются атаками типа BOLA.

  • Включить блокировку источников атак BOLA (добавление в черный список).

BOLA trigger

Логика автозащиты от атак типа BOLA

После включения опции, Вебмониторэкс:

  1. Выявляет эндпоинты API, которые являются наиболее вероятными целями BOLA-атак, например, содержат вариативные параметры путей: domain.com/path1/path2/path3/{variative_path4}.

    Этот этап занимает некоторое время

    Для выявления уязвимых эндпоинтов API необходимо изучить построенную структуру API и характер входящего трафика, это занимает некоторое время.

    Автозащита от BOLA-атак распространяется только на эндпоинты, обнаруженные модулем Обнаружение API. Защищенные эндпоинты подсвечиваются в структуре API.

  2. Защищает уязвимые эндпоинты API от атак BOLA. Логика защиты по умолчанию:

    • Считать BOLA-атаками запросы, отправленные на уязвимый эндпоинт после превышения порога в 180 запросов с одного IP за 1 минуту.
    • Не блокировать BOLA-атаки, только регистрировать их в списке событий, когда достигнут порог запросов с одного IP. Запросы продолжат поступать к вашим приложениям.

    Соответствующая реакция в шаблоне автозащиты от BOLA — Регистрировать атаки.

  3. Реагирует на изменения в структуре API: автоматически защищает новые уязвимые эндпоинты и отключает защиту для удаленных эндпоинтов.

Отключение опции автоматической защиты от BOLA-атак

Вы можете отключить автоматическую защиту от BOLA-атак в секции Защита от BOLA.

При истечении подписки на модуль Структура API защита отключается автоматически.