BOLA in the Wild Dataset
收藏github2026-05-27 更新2026-05-29 收录
下载链接:
https://github.com/hackwither/bola-in-the-wild
下载链接
链接失效反馈官方服务:
资源简介:
该数据集包含100多个公开的HackerOne披露信息,用于实证分析Broken Object Level Authorization (BOLA)在真实系统中的表现。它引入了一个七家族的BOLA分类法,并提供了可重复的分析流程,包括原始数据、分类数据、模式定义和分类规则,支持对现代应用程序中授权失败的研究。数据集涵盖了200个候选报告,其中107个已完全分类,84个确认为范围内的BOLA案例,并详细展示了各家族的分布情况。
This dataset contains over 100 publicly disclosed HackerOne reports, intended for empirical analysis of Broken Object Level Authorization (BOLA) performance in real-world systems. It proposes a seven-family BOLA taxonomy and provides reproducible analysis workflows including raw data, categorized datasets, pattern definitions and classification rules, enabling research on authorization failures in modern applications. The dataset encompasses 200 candidate reports, among which 107 have been fully classified, 84 have been confirmed as in-scope BOLA cases, and the distribution across each family is thoroughly presented.
创建时间:
2026-05-18
原始信息汇总
数据集概述:BOLA in the Wild
基本信息
- 数据集名称:BOLA in the Wild: Taxonomy and Empirical Analysis of 100+ HackerOne Disclosures
- 作者:Bandana Kaur
- 所属机构:APIsec Research Labs
- 相关论文:Broken Object Level Authorization in the Wild: An Empirical Taxonomy from 100+ Bug Bounty Disclosures
- 论文预印本地址:https://arxiv.org/pdf/2605.25865
数据集内容
该数据集围绕**破坏的对象级授权(BOLA)**漏洞展开,基于对100多个公开的HackerOne漏洞报告的实证分析,构建了一个包含七个家族的BOLA分类体系,并提供可复现的分析流程。
样本统计
| 指标 | 数值 |
|---|---|
| 候选HackerOne报告采样数 | 200 |
| 完全分类的报告数 | 107 |
| 确认为有效BOLA的报告数 | 84(78.5%) |
| 严格标准下超出范围的报告 | 约21.5% |
六大已确认BOLA家族分布
- Action-Level Object BOLA(操作级对象BOLA):41.7%(n=35)——占比最大,特征是未经授权对其他用户对象执行状态更改操作
- Direct Object Reference(直接对象引用):36.9%(n=31)
- Tenant Isolation(租户隔离):8.3%(n=7)
- Workflow-Context(工作流上下文):6.0%(n=5)
- Chained Disclosure(链式披露):4.8%(n=4)
- Object Rebinding(对象重绑定):2.4%(n=2)
其他关键发现
- 2021–2026年间成熟项目漏洞报告中,顺序整数仍是最常见的标识符类型(占已知格式案例的36.9%)
- 非顺序ID并不消除风险:编码ID、UUID、电子邮件和用户名占已知格式报告的39.2%
- 11.9%的BOLA属于垂直权限情况(低权限用户操作管理员拥有的对象)
- 约39%的HackerOne上标记为IDOR/IAC的报告不符合严格的BOLA标准
数据集文件结构
数据文件
data/raw/candidates_raw.json:原始候选报告data/raw/classified_manually_verified.json:手动分类并验证后的报告
数据模式与规则
data/schema/dataset_schema.md:数据集模式定义data/schema/taxonomy_definition.md:分类体系定义data/schema/inclusion_exclusion_rules.md:包含与排除规则
提示词文件
prompts/candidate_prefilter.md:候选预过滤提示prompts/classifier_prompt.txt:分类器提示
输出结果
- 图表(位于
outputs/figures/):包含概览仪表盘、家族分布柱状图、严重程度热力图等10张图表 - 表格(位于
outputs/tables/):包含家族分布、操作分布、行业分布、ID格式分布等10个CSV表格
可复现性
可通过以下命令复现论文中的所有图表和汇总统计: bash git clone https://github.com/hackwither/bola-in-the-wild cd bola-in-the-wild pip install -r requirements.txt python src/analysis/main.py
引用方式
bibtex @techreport{kaur2026bola, title = {Broken Object Level Authorization in the Wild: A Taxonomy and Quantitative Meta-Analysis of 100+ HackerOne Disclosures}, author = {Kaur, Bandana and Haro Peralta, Jose}, institution = {APIsec Research Labs}, year = {2026} }
搜集汇总
数据集介绍

构建方式
在API安全领域,对象级授权缺陷(BOLA)始终是最普遍且影响深远的漏洞之一,然而针对生产系统中该漏洞的实际表现形式,实证研究仍显匮乏。本数据集源于对HackerOne平台上超过100份公开漏洞报告的深入剖析。研究团队首先从200个候选样本中,依据严格的纳入-排除标准筛选出107份可分类报告,并最终确认其中84份(78.5%)符合BOLA范畴。随后,通过人工标注与系统化分析,构建了一个包含七类BOLA家族的原型分类体系,并配套设计了可复现的分析流水线,涵盖候选报告获取、合格报告筛选及分类标注等环节,最终将所有结构化数据、分类结果与统计汇总存入`data/raw/classified_manually_verified.json`文件中。
特点
该数据集最显著的特征在于其基于真实漏洞报告的实证分类体系,突破了传统仅关注直接对象引用的局限。研究发现,动作级对象BOLA(涉及对他人对象执行未经授权的状态变更操作)占据最大比例(41.7%),超越了经典的直接引用模式(36.9%),表明标准的只读测试将遗漏实际环境中最大的BOLA家族。此外,数据集揭示了非连续标识符(如编码ID、UUID、邮箱等)同样无法规避风险(占已知格式案例的39.2%),并识别出垂直权限提升型BOLA(占比11.9%),这几乎在从业者手册中未提及。同时,约39%的HackerOne标签报告经严格标准判定后并不符合BOLA条件,显著揭示了原始标签计数的过度乐观。
使用方法
研究人员可直接克隆本仓库并配置运行环境。执行`python src/analysis/main.py`即可自动复现论文中所有图表与汇总统计结果,该脚本以`data/raw/classified_manually_verified.json`为输入,生成涵盖家族分布、严重性关联、行业分布等在内的可视化图表及CSV统计表。此外,`prompts/`目录提供了候选预过滤与分类器的提示文本,便于研究者理解分类逻辑;`data/schema/`中的文档详细定义了数据集字段、分类定义及纳入排除规则,为后续扩展或对比分析提供标准化参考。若需自定义分析,可基于`src/analysis/`模块中的加载、分析与可视化组件进行二次开发。
背景与挑战
背景概述
在现代Web应用架构中,API已成为数据交互的核心枢纽,而Broken Object Level Authorization(BOLA)作为OWASP API Security Top 1的安全漏洞,长期困扰着学术界与工业界。尽管已有大量理论探讨,针对真实生产环境中BOLA表现形式的系统性实证研究却极为匮乏。2026年,APIsec Research Labs的研究员Bandana Kaur及其团队,基于对HackerOne平台上超过200份漏洞报告的严格筛选与107份完整分类分析,发布了首个聚焦真实世界的BOLA实证数据集。该数据集的核心研究问题在于揭示BOLA在成熟漏洞奖励计划中的实际分布形态、攻击向量特征及分类学框架,通过构建七类BOLA家族分类法(如Action-Level Object BOLA占据41.7%为最大家族),弥补了现有安全测试仅关注直接对象引用模式的认知盲区,为API安全研究与防御实践提供了坚实的经验基石。
当前挑战
该数据集所面临的挑战多维且复杂。首先,在领域问题层面,传统安全测试范式过度聚焦于直接对象引用(约占36.9%),却忽略了真实中最为普遍的Action-Level Object BOLA(41.7%),导致现有检测覆盖率存在结构性缺失;同时,11.9%的垂直越权场景在主流安全指南中几乎被忽略。其次,在数据构建过程中,挑战尤为突出:一是漏洞标签噪声问题显著,约39%被HackerOne标识为IDOR/IAC的报告经过严格BOLA标准筛选后实为误报,要求研究者手动复核每一份报告的上下文;二是漏洞描述多采用非结构化文本,且敏感信息被红化,增加了漏洞根本原因推断的难度;三是标识符类型多样化(顺序整数、编码ID、UUID等)导致攻击面识别缺乏统一判别规则,需依赖专家知识进行逐例判决。
常用场景
经典使用场景
BOLA in the Wild数据集为学术界和工业界研究API安全领域中对象级授权失效这一关键威胁提供了权威的实证基础。该数据集系统性地采集并标注了超过100份来自HackerOne平台的真实漏洞报告,研究者可将其用于训练和评估自动化漏洞分类模型,或构建机器学习驱动的API安全分析流水线。其提供的七大家族分类体系与详细标注信息,使得研究人员能够深入探究不同BOLA变体在真实攻击场景中的分布规律与特征模式,是推动API安全实证研究的核心基准资源。
衍生相关工作
该数据集的发布催生了一系列重要的衍生研究。其开创性的七大家族分类体系已被后续多项关于API安全测试基准构建的研究所采纳,成为该领域标准化的分类参考框架。基于该数据集标注的真实漏洞报告,研究者开发出了针对动作级BOLA的专用检测工具与对抗性测试方案。数据集提供的高质量人工验证标注也推动了少样本学习与主动学习技术在漏洞识别中的应用探索。此外,数据集中关于非顺序标识符(如UUID、编码ID)仍存在风险的核心发现,直接引发了关于现代Web应用对象引用安全设计的系统性讨论,拓展了API安全研究方向的外延与深度。
数据集最近研究
最新研究方向
随着API安全威胁日益严峻,Broken Object Level Authorization(BOLA)已成为现代Web应用中最为普遍且危害深远的授权失效类型。该数据集基于对100余份HackerOne公开漏洞报告的实证剖析,构建了一个包含七类BOLA变体的系统性分类体系,揭示了实际生产环境中BOLA的复杂表现形态。研究发现,面向操作级别的对象授权绕过(Action-Level Object BOLA)以41.7%的比例超越传统直接对象引用模式,成为当前最主流的攻击向量,而标准的只读访问测试往往无法检测此类高危缺陷。此外,数据集还揭示了顺序整数标识符在成熟厂商的漏洞报告中仍占36.9%,但非顺序ID(如编码值、UUID、电子邮件)同样无法杜绝风险,且垂直权限提升案例(11.9%)几乎被现有安全实践手册所忽视。这一工作不仅提供了可复现的分析流水线与分类提示词,更深刻挑战了业界对BOLA漏洞的传统认知,为API安全测试、自动化检测工具研发及防御策略优化提供了坚实的经验基准。
以上内容由遇见数据集搜集并总结生成



