API 安全里最容易被忽视的不是“有没有登录”，而是用户是否有权访问某个对象、某个字段和某个业务动作。本文结合 OWASP API Security Top 10，整理 BOLA 与字段级越权的常见成因、排查重点和落地防护清单。

安全巡检不一定要一次覆盖所有细节。对中小型站点来说，每天稳定检查端口、登录、进程、磁盘、证书、备份和 Web 日志等高价值项，往往比偶尔做一次大而全的扫描更有效。

凭证填充不是简单的“密码输错太多次”，而是撞库、代理池、自动化脚本、弱 MFA 和异常会话共同作用的结果。本文整理登录入口的分层防护思路：密码策略、MFA、速率限制、风控日志、会话保护与产品默认安全。