Broken Access Control（壊れたアクセス制御）

Broken Access Control（壊れたアクセス制御）とは、ひとことで言えば、認可ロジックの欠陥により、ユーザーが本来アクセスすべきでないリソース・機能・他人のデータへアクセスできてしまう脆弱性です。OWASP Top 10 2021で第1位にランクされ、典型例としてはURL内のIDを書き換えて他人のデータを閲覧できるIDOR（Insecure Direct Object Reference）、強制ブラウジング、権限昇格などがあります。対策は「サーバ側で全アクセスに対して認可チェックを実施」「デフォルト拒否」「最小権限」が基本です。クライアント側のチェックのみでは容易に回避されるため、必ずバックエンドで実装することが重要です。