262-000177-001 OWASP API 보안 상위 10개

“

제품 정보

명세서

• 제품 이름: API를 위한 2023 OWASP Top 10 개발자 가이드
  보안
• 내용: API 보안 치트 시트, 정의 및 자세한 내용
  2023 OWASP API 보안 Top 10 가이드

제품 사용 지침

API 보안 소개

개발자 가이드는 다음에 대한 포괄적인 정보를 제공합니다.
API 보안을 위한 2023 OWASP Top 10, 공통 보안 강조
API를 사용하여 애플리케이션을 개발할 때 발생할 수 있는 위험.

API 보안 치트 시트

치트 시트에는 다음 API 보안 범주가 나열되어 있습니다.
위험:

1. 손상된 객체 수준 권한 부여
2. 손상된 인증
3. 파손된 객체 속성 수준 권한 부여
4. 제한 없는 리소스 소비
5. 손상된 기능 수준 권한 부여
6. 민감한 비즈니스 흐름에 대한 무제한 액세스
7. 서버 측 요청 위조
8. 보안 오류
9. 부적절한 재고 관리
10. API의 안전하지 않은 사용

개발자 가이드 끝view

이 가이드는 각 API 보안 위험 범주를 자세히 살펴보고 있습니다.
해결 및 완화 방법에 대한 자세한 설명 및 지침
이러한 위험을 효과적으로 방지합니다.

자주 묻는 질문(FAQ)

질문: API 보안이 중요한 이유는 무엇입니까?

A: API 보안은 API가 종종 민감한 데이터를 노출하기 때문에 매우 중요합니다.
그리고 애플리케이션 논리가 취약하여 공격자의 주요 타깃이 됩니다.
API 보안은 데이터 침해를 방지하는 데 필수적입니다.
전반적인 시스템 보안을 보장합니다.

질문: 안전한 API를 구현하려면 어떻게 해야 하나요?

A: 보안 API를 구현하려면 다음과 같은 모범 사례를 따르세요.
적절한 인증, 권한 부여 메커니즘, 입력 검증
민감한 데이터의 암호화 및 정기적인 보안 평가
업데이트.

“`

백
API 보안을 위한 2023 OWASP Top 10 개발자 가이드

내용물

API 보안 요령집

5

정의

5

API1:2023–손상된 객체 수준 권한 부여

7

API2:2023–인증 오류

8

API3:2023–손상된 객체 속성 수준 권한 부여

9

API4:2023–제한 없는 리소스 소비

11

API5:2023–손상된 기능 수준 권한 부여

13

API6:2023 – 민감한 비즈니스 흐름에 대한 무제한 액세스

14

API7:2023–서버 측 요청 위조

16

API8:2023–보안 오류

18

API9:2023–부적절한 재고 관리

19

API10:2023–안전하지 않은 API 사용

21

API 보안 상위 10개만으로는 충분하지 않습니다!

23

결론

23

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

2/23

기업들이 클라우드 기반 인프라와 DevOp 스타일 방법론을 채택함에 따라 web 애플리케이션 프로그래밍 인터페이스(API)가 급증했습니다. 가장 인기 있는 공개 API로는 개발자가 Google 검색에 접근하고, TikTok에서 데이터를 스크래핑하고, 차량을 추적하고, 스포츠 경기 결과를 수집하고, 인기 사이트에서 이미지 다운로드 데이터를 수집할 수 있는 API가 있습니다.1 2023년에는 API 관련 트래픽이 전체 동적 트래픽(캐시 불가능 트래픽으로 정의)의 58%를 차지할 것으로 예상되는데, 이는 54년 말 2021.2%에서 증가한 수치입니다.XNUMX
API는 기업 애플리케이션이 서로 통신하고 통합하는 방식이 되었습니다. 기업은 API의 약 64분의 51(25%)를 파트너와 연결하는 데 사용하고, 약 절반(3%)은 마이크로서비스에 대한 액세스 지점으로 사용합니다. 전반적으로 XNUMX분의 XNUMX 이상의 기업이 애플리케이션당 평균 XNUMX개 이상의 API를 사용합니다.XNUMX
API 기반 애플리케이션 인프라 도입은 놀라운 일이 아닙니다. API를 도입하여 외부 개발자를 유치하고 생태계를 구축하는 기업들은 성장세가 더욱 두드러집니다. 채프먼 대학교와 보스턴 대학교 연구진이 13년에 발표한 논문에 따르면, 기술 장벽을 구축하는 기존 방식을 뒤집고 일부 기능과 데이터에 대한 개방형 접근을 허용하는 이러한 "역전된 기업(inverted firms)"은 API를 도입하지 않은 기업에 비해 39년 동안 약 16%, 2022년 동안 4% 성장했습니다.XNUMX
그러나 마이크로서비스, 컨테이너화, API 도입과 함께 안전하지 않은 소프트웨어 구성 요소, 부실한 비즈니스 로직, 결함 있는 데이터 보안 등 다양한 위험이 발생합니다. 92개 조직 중 5개(20%)가 안전하지 않은 API와 관련된 보안 사고를 최소 한 번 이상 경험했습니다.6 대기업은 일반적으로 수천 개의 API를 보유하고 있으며, 이러한 시스템에 대한 공격이 보안 사고의 약 40%를 차지하는 반면, 중소기업은 수백 개의 API를 보유하고 있으며, 이러한 API의 공격 범위는 보안 사고의 7%에 불과합니다.XNUMX Marsh McLennan의 추산에 따르면, API 취약점으로 인한 침해로 인한 연간 손실액은 전 세계적으로 XNUMX억 달러를 초과합니다.XNUMX
1 아렐라노, 켈리. 가장 인기 있는 API 50선. RapidAPI 블로그. RapidAPI. Web 페이지. 16년 2023월 XNUMX일.
2 Tremante, Michael 외. 애플리케이션 보안 보고서: 2년 2023분기. Cloudflare 블로그. Cloudflare. 블로그 게시물. 21년 2023월 XNUMX일.
3점, 멜린다. API 공격 표면 보안. 엔터프라이즈 전략 그룹. 팔로알토 네트웍스 후원. PDF 보고서, 10쪽. 23년 2023월 XNUMX일.
4 벤젤, 세스 G. 외. API가 기업을 전환하여 성장을 창출하는 방법. 사회과학 연구 네트워크. 연구 논문. 개정일: 30년 2022월 XNUMX일.
5 API 공격 표면 보안. Enterprise Strategy Group, 14쪽. 6 레모스, 로버트. API 보안 손실은 총 수십억 달러에 달하지만, 그 심각성은 더욱 복잡하다. Dark Reading.
뉴스 기사. ​​30년 2022월 7일. XNUMX Marsh McLennan. API 보안 불안정 비용 정량화. Imperva 후원.
PDF 보고서. 22년 2022월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

3/23

2023년 API 보안 상위 10대 목록은 API를 노출하거나 사용하는 애플리케이션을 개발할 때 발생하는 가장 흔하고 심각한 보안 위험 XNUMX가지를 강조합니다.

이 문제가 너무 심각해서 미국 국가안보국(NSA)은 호주 사이버 보안 센터(ACSC)와 미국 사이버 보안 및 인프라 보안국(CISA)과 협력하여 API 보안 문제, 특히 가장 흔한 안전하지 않은 직접 객체 참조(IDOR) 취약점에 대한 지침을 제공했습니다.8
이처럼 보안 문제가 급증하는 상황에서, OWASP(Open Worldwide Application Security Project)는 놀랍지 않게 API 보안 10대 위험 목록을 업데이트했습니다. 2019년 첫 목록을 새롭게 업데이트한 2023 API 보안 10대 위험 목록은 API를 노출하거나 사용하는 애플리케이션 개발 시 발생하는 가장 흔하고 심각한 보안 위험 7가지를 강조합니다. IDOR 취약점을 포함하는 상위 집합인 손상된 객체 수준 권한 부여(BROken Object-Level Authorization)와 같은 문제는 이전 목록과 동일합니다. 그러나 새로운 범주(또는 재편된 범주)는 서버 측 요청 위조(API2023:6) 및 민감한 비즈니스 흐름에 대한 무제한 접근(API2023:XNUMX)과 같이 과거에 간과되었던 문제들을 강조합니다.
OWASP 그룹은 발표문에서 "API는 본질적으로 애플리케이션 로직과 개인 식별 정보(PII)와 같은 민감한 데이터를 노출시키기 때문에 API는 공격자의 표적이 되는 경우가 점점 늘어나고 있습니다."라고 밝혔습니다.9 "안전한 API가 없다면 빠른 혁신은 불가능합니다."

8개의 새로운 사이버 보안 권고가 경고합니다. Web 애플리케이션 취약점. 국가안보국. 보도자료. 27년 2023월 XNUMX일.
9. 오픈 월드와이드 애플리케이션 보안 프로젝트. OWASP API 보안 Top 10: Forward. OWASP.org. Web 페이지. 3년 2023월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

4/23

API 보안 요령집

OWASP Top 10 카테고리 1. 손상된 개체 수준 권한 부여 2. 손상된 인증 3. 손상된 개체 속성 수준 권한 부여 4. 제한 없는 리소스 소비 5. 손상된 기능 수준 권한 부여 6. 민감한 비즈니스 흐름에 대한 제한 없는 액세스 7. 서버 측 요청 위조 8. 보안 구성 오류 9. 부적절한 인벤토리 관리 10. 안전하지 않은 API 사용

사이버 보안 솔루션 SAST SAST, DAST SAST, DAST SAST, DAST, 보안 API 관리자 SAST DAST DAST SAST, DAST 보안 API 관리자 SCA, SAST

정의
API Endpoint - 일반적으로 두 시스템 간의 통신 지점 URL 마이크로서비스를 실행하는 컨테이너 또는 서버의 경우 URL, 애플리케이션이나 개발자는 서버에 정보를 요청하거나 API 서버나 마이크로서비스에서 작업을 실행할 수 있습니다.
API 관련 트래픽 - HTTP 또는 HTTPS 요청으로 구성되고 응답 내용이 XML 또는 JSON인 인터넷 트래픽으로, 일반적으로 SOAP, WSDL, REST API 또는 gRPC를 통해 데이터가 애플리케이션으로 전달되고 있음을 나타냅니다(아래 참조).
동적 애플리케이션 보안 테스트(DAST) – 애플리케이션의 사용자 인터페이스, 애플리케이션 또는 API 서버를 분석하는 프로세스입니다. web 프런트 엔드 web 신청서 또는 URLAPI 엔드포인트를 위한 s입니다. 블랙박스 테스트의 한 유형인 이 접근법은 일반적으로 내부 프로세스에 대한 지식 없이 공격자와 동일한 방식으로 애플리케이션을 공격하여 "외부에서 내부로" 애플리케이션을 평가합니다.
정적 애플리케이션 보안 테스트(SAST)는 소스 코드, 바이너리 코드 또는 바이트 코드를 검사하여 오류나 취약점의 패턴을 파악하는 애플리케이션 보안 접근 방식입니다. 화이트박스 테스트라고도 하는 SAST는 "인사이드-아웃" 방식을 사용하여 외부 공격자가 악용할 가능성이 있거나 없는 잠재적인 취약점과 오류를 식별합니다. 경량 정적 도구는 IDE 개발자에게 실시간 피드백을 제공할 수 있습니다.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

5/23

손상된 객체 수준 권한 부여는 널리 퍼져 있고 악용하기 쉬운 문제입니다. web API 호출은 상태 정보를 전달하기 때문에 애플리케이션에 취약합니다. 애플리케이션이 사용자에게 해당 작업을 수행할 권한이 있는지 확인하지 않고 API에 식별자를 지정하여 작업을 수행하도록 허용하는 경우 애플리케이션은 취약해집니다.

SOAP/WSDL – XML 기반 프로토콜을 생성합니다. Web API. SOAP는 프로토콜 자체이고 WSDL(Web 서비스 정의 언어(Service Definition Language)는 서비스를 공식적으로 설명하는 데 사용되는 형식입니다. 과도한 오버헤드로 인해 이 API 스타일은 새로운 개발 환경에서는 인기가 없어졌습니다.
REST–A Web HTTP의 의미론을 사용하여 HTTP를 통해 직접 메시지를 교환하는 API 스타일 URLs와 동사를 추가 "봉투" 없이 사용할 수 있습니다. 콘텐츠는 일반적으로 JSON으로 인코딩되지만, 경우에 따라 XML로 인코딩됩니다.
GraphQL – API(요청 및 응답은 JSON 형식)에서 사용하도록 설계된 쿼리 언어로, 서버 측 런타임과 함께 쿼리를 실행합니다. 클라이언트가 필요한 데이터 구조를 정의하고 해당 형식으로 서버로부터 데이터를 수신할 수 있도록 지원합니다.
gRPC – REST보다 성능이 뛰어난 API 프로토콜입니다. HTTP/2를 사용하며 성능 이점이 있습니다.tagHTTP/1.1을 통해 제공되는 es입니다. 개별 메시지의 형식은 일반적으로 바이너리이며 ProtoBuf를 기반으로 하여 성능 향상을 가져옵니다.tagREST와 SOAP를 통한 es.

2023 API 보안 상위 10개

아날로그 2019 API 보안 항목

API1:2023–손상된 객체 수준 권한 부여

API1:2019–손상된 객체 수준 권한 부여

API2:2023–인증 오류

API2:2019–손상된 사용자 인증

API3:2023–손상된 객체 속성 수준 권한 부여

API3:2019–과도한 데이터 노출, API6:2019–대량 할당

API4:2023–제한 없는 리소스 소비

API4:2019–리소스 부족 및 속도 제한

API5:2023–손상된 기능 수준 권한 부여

API5:2019–손상된 기능 수준 권한 부여

API6:2023 – 민감한 비즈니스 흐름에 대한 무제한 액세스

API7:2023–서버 측 요청 위조

API8:2023–보안 오류 API7:2019–보안 오류

API9:2023–부적절한 재고 관리

API9:2019–부적절한 자산 관리

API10:2023–안전하지 않은 API 사용

API8:2019–주입, API10:2019–불충분한 로깅 및 모니터링

Source: https://owasp.org/API-Security/editions/2023/en/0x11-t10/ Source: https://owasp.org/API-Security/editions/2019/en/0x11-t10/

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

6/23

개발자와 애플리케이션 보안 팀도 인증을 통해 사용자 신원을 확인하는 기능을 적절하게 구현해야 합니다.

API1:2023–손상된 객체 수준 권한 부여
그것은 무엇입니까?
API를 사용하면 표준화된 서비스를 사용하여 서비스와 데이터에 액세스할 수 있습니다. web 요청. 기업은 자산이 제대로 보호되지 않거나 권한 부여 제어가 제대로 구현되지 않았거나 부재할 경우, 인프라와 데이터를 안전하지 않은 직접 접근에 노출시킵니다. 손상된 객체 수준 권한 부여(IDOR, 안전하지 않은 직접 객체 참조)는 데이터 유출부터 전체 계정 탈취까지 다양한 위험으로 이어질 수 있습니다.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
이것은 널리 퍼져 있고 쉽게 악용될 수 있는 문제입니다. web 애플리케이션. 애플리케이션이 사용자에게 API 식별자를 지정하여 작업을 수행할 권한이 있는지 확인하지 않고 작업을 수행할 수 있도록 허용하는 경우, 해당 애플리케이션은 취약해집니다.
전 애인에서ampOWASP에서 자세히 설명한 대로 온라인 상점을 위한 플랫폼은 간단한 호출을 통해 상점 데이터에 액세스할 수 있도록 허용할 수 있습니다.
/shops/{shopName}/revenue_data.json
이 방법은 모든 사용자가 shopName을 다른 사용자의 매장 이름으로 바꿔서 자신이 가져서는 안 될 데이터에 접근할 수 있기 때문에 안전하지 않습니다.
공격 전amp레
2021년에 보안 연구원은 webPeloton 운동용 자전거에 데이터를 제공하는 애플리케이션 및 백엔드 서버에는 인증되지 않은 사용자가 개인 데이터에 접근할 수 있도록 허용하는 여러 API 엔드포인트가 있었습니다. 2021년 2021.10월, Peloton은 이 문제에 대한 부분적인 수정을 구현하여 인증된 사용자에게만 API 접근 권한을 제한했지만, 해당 사용자는 다른 회원의 개인 데이터에 접근할 수 있도록 했습니다. XNUMX년 XNUMX월에 전체 수정이 이루어졌습니다.
개발자로서 이를 방지하려면 어떻게 해야 하나요?
개발자는 엄격한 제어를 시행하고, 예측 불가능한 사용자 식별자를 할당하여 계정 열거를 방지하고, 데이터 소스에 액세스하는 모든 기능에 대해 객체 수준 권한 부여를 확인함으로써 객체에 대한 안전하지 않은 접근을 방지합니다. 특히 사용자 입력을 기반으로 하는 경우, 개발자는 이러한 확인 절차를 캡슐화하여 의도치 않은 오류로 인한 보안 침해 가능성을 제거해야 합니다. 애플리케이션 보안 및 운영 전문가는 백엔드 데이터에 대한 각 요청에 대해 권한 부여 확인을 요구해야 합니다.
OpenText는 어떻게 도움을 줄 수 있나요?
OpenTextTM 정적 애플리케이션 보안 테스트(SAST)와 OpenTextTM 동적 애플리케이션 보안 테스트(DAST)는 안전하지 않은 직접 객체 참조(IDOR) 범주의 광범위한 취약점을 탐지할 수 있습니다. IDOR에는 디렉터리 탐색과 같은 취약점이 포함될 수 있습니다. File 업로드하고, File 포함. 보다 일반적으로 IDOR에는 식별자가 있는 취약점 클래스도 포함됩니다.
10 마스터즈, XNUMX월. 투르 드 펠로톤: 사용자 데이터 노출. 펜 테스트 파트너 블로그. 펜 테스트 파트너. Web 페이지. 5년 2021월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

7/23

개발자와 애플리케이션 보안 팀도 인증을 통해 사용자 신원을 확인하는 기능을 적절하게 구현해야 합니다.

다음을 통해 수정될 수 있습니다. URL본문 또는 헤더 조작. 시스템은 사용자가 데이터베이스 또는 스토리지 컨테이너에 대한 API 요청에서 기본 키를 직접 선택할 수 있는 경우 개발자에게 경고합니다. 이러한 문제는 종종 이러한 유형의 취약점으로 이어집니다. 또한, 시스템은 예상되는 권한 확인이 누락된 경우에도 경고합니다.
API2:2023–인증 오류
그것은 무엇입니까?
권한 확인은 특정 역할이나 사용자를 기준으로 데이터 접근을 제한하지만, 이러한 제한만으로는 시스템, 데이터 및 서비스를 보호하기에 충분하지 않습니다. 개발자와 애플리케이션 보안 팀은 인증을 통해 사용자 신원을 확인하는 기능을 적절하게 구현해야 합니다. 인증의 중요성에도 불구하고, 이러한 구성 요소는 종종 제대로 구현되지 않거나 부적절하게 사용되는데, 이것이 바로 사용자 인증 위반의 근본 원인입니다. 사용자 인증 위반은 공격자가 안전하지 않은 인증 토큰을 악용하거나 구현상의 결함을 악용하여 다른 사용자의 신원을 일시적 또는 영구적으로 도용할 수 있도록 허용합니다.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
이 흔하고 악용되기 쉬운 문제는 인증이 복잡하고 혼란스러울 수 있으며, 당연히 대중에게 노출되기 때문에 발생합니다. 개발자의 실수와 애플리케이션 구성 오류로 인해 필요한 검사가 부족해져 공격자가 인증을 회피할 수 있습니다. 특정 엔드포인트에 대한 인증을 구현하지 않거나 취약한 인증 메커니즘을 허용하는 개발자는 크리덴셜 스터핑, 토큰 리플레이, 비밀번호 스니핑과 같은 다양한 공격에 애플리케이션을 노출시킬 수 있습니다.
공격 전amp레
2023년 11월부터 XNUMX월까지 의류 소매업체 Hot Topic을 표적으로 한 크리덴셜 스터핑 공격이 발생했습니다. Hot Topic은 고객들에게 알려지지 않은 수의 계정이 침해되었다고 알렸습니다. 공격자들은 알려지지 않은 출처에서 수집한 크리덴셜을 사용하여 고객 이름, 이메일 주소, 주문 내역, 전화번호, 생년월일과 같은 민감한 개인 정보에 접근할 수 있었습니다.XNUMX
2022년 1월, 잘못 구성된 클라우드 스토리지 버킷으로 인해 이메일 마케팅 서비스 Beetle Eye의 12GB에 달하는 중요 데이터가 암호 보호나 암호화 없이 유출되었습니다. 이 데이터에는 여러 여행사와 미국 주에서 수집한 연락처 정보와 관광 관련 정보가 포함되어 있었습니다.XNUMX 잘못 구성된 인증 메커니즘은 손상된 사용자 인증(Broken User Authentication) 범주의 한 유형으로 간주됩니다.
개발자로서 이를 방지하려면 어떻게 해야 하나요?
11 툴라스, 빌. 소매 체인 핫 토픽, 신원정보 스터핑 공격 급증 공개. 블리핑컴퓨터. 뉴스 기사. ​​1년 2023월 XNUMX일.
12 나이르, 프라지트. 미국 마케팅 플랫폼을 통해 7만 명 데이터 노출. 오늘의 데이터 유출. ISMG 네트워크. 11년 2022월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

8/23

표준화는 인증에 필수적입니다. DevSecOps 팀은 애플리케이션에 대해 하나 또는 제한된 수의 인증 방법을 개발하고, 개발자가 모든 마이크로서비스와 API에 걸쳐 해당 메커니즘을 동일하게 구현하도록 해야 합니다.

표준화는 인증에 필수적입니다. DevSecOps 팀은 애플리케이션에 대해 하나 또는 제한된 수의 인증 방법을 개발하고 개발자가 모든 마이크로서비스와 API에 걸쳐 해당 메커니즘을 동일하게 구현하도록 해야 합니다. 모든 인증 구현은 재구축되어야 합니다.view구현 및 관련 보안 제어의 정확성을 보장하기 위해 현재 버전 4,13인 OWASP 애플리케이션 보안 검증 표준(ASVS)의 맥락 내에서 작성되었습니다. 표준에서 벗어난 모든 사항, 특히 인증되지 않은 엔드포인트의 의도적인 노출은 보안팀에서 평가해야 하며, 엄격한 비즈니스 요구 사항을 충족하는 경우에만 허용해야 합니다.
OpenText는 어떻게 도움을 줄 수 있나요?
OAuth와 JWT는 API 구현에 사용되는 가장 일반적인 인증 유형 중 두 가지이며, OpenText Dynamic Application Security Testing은 애플리케이션에서 두 표준의 취약한 구현뿐만 아니라 CSRF 및 세션 고정과 같은 사용자 지정 인증 구현에서 발생하는 잘못된 구성 및 취약한 패턴을 검사합니다. OpenText의 Dynamic Application Security Tool(DAST) 검사는 특히 API에서 인증 취약점을 탐지하는 데 매우 유용합니다.
OpenText 정적 애플리케이션 보안 테스트는 인증 오류와 관련된 광범위한 검사를 지원합니다. 정적 분석 도구는 자격 증명 유출과 같은 일반적인 문제는 물론, JWT 토큰의 보호 클레임 누락이나 JWT 헤더에서 발생하는 클레임과 같은 API 특정 문제도 탐지합니다.
API3:2023–손상된 객체 속성 수준 권한 부여
그것은 무엇입니까?
손상된 객체 속성 수준 권한 부여는 2023년 OWASP 목록에 추가된 새로운 범주로, 이전 목록의 두 가지 범주인 과도한 데이터 노출(API3:2019)과 대량 할당(API6:2019)을 결합한 것입니다. 이 문제는 객체 속성 수준에서 사용자 권한 부여의 유효성 검증이 부족하거나 부적절한 사용자 권한 부여로 인해 발생합니다. API 엔드포인트는 각 사용자가 액세스하거나 변경하려는 모든 속성에 대한 권한을 가지고 있는지 확인해야 합니다. 이 문제를 악용하면 권한이 없는 사용자가 정보를 노출하거나 데이터를 조작할 수 있습니다.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
흔하고 쉽게 악용될 수 있는 문제는 사용자가 특정 객체의 일부 속성(예: 여행 애플리케이션의 객실 예약)에는 접근할 수 있지만, 다른 속성(예: 객실 가격)에는 접근할 수 없는 경우 발생합니다. 사용자가 API를 통해 객체의 속성에 접근할 때, 애플리케이션은 사용자가 다음을 수행했는지 확인해야 합니다.
· 객체의 특정 속성에 접근할 수 있어야 합니다.
13 OWASP 애플리케이션 보안 검증 표준. OWASP. GitHub 페이지. 최종 접속: 17년 2023월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

9/23

손상된 개체 속성 수준 권한 부여는 이전 목록의 두 가지 범주인 과도한 데이터 노출(API2023:3)과 대량 할당(API2019:6)을 결합한 2019 OWASP 목록의 새로운 범주입니다.
OpenTextTM 정적 애플리케이션 보안 테스트는 데이터 흐름 분석을 통해 과도한 데이터 노출과 대량 할당을 방지합니다. 이 시스템은 변수 이름이나 특정 API 호출을 기반으로 하는 개인 데이터 등 다양한 출처를 강조 표시하고 대량 할당이 가능한 객체를 식별합니다.

(이전에는 위반 사항이 과도한 데이터 노출로 알려짐) 및/또는
· 객체의 특정 속성을 변경할 수 있습니다(일부 애플리케이션은 프레임워크를 사용하여 자동으로 매핑하기 때문에 이를 확인하지 못합니다. web 요청 매개변수를 객체 필드에 전달하는 문제는 대량 할당으로 알려져 있습니다.
OWASP ex에서amp온라인 비디오 플랫폼인 le는 사용자가 차단된 비디오의 설명도 변경할 수 있도록 허용하지만, 사용자가 '차단됨' 속성을 수정하도록 허용해서는 안 됩니다.
PUT /api/video/update _ video
{
“설명”: “고양이에 대한 재미있는 영상”
"차단됨": 거짓
}
공격 전amp레
2022년 14월, 한 버그바운티 프로그램에서 트위터의 취약점을 발견했습니다. 이 취약점은 사용자가 트위터 시스템에 이메일 주소나 전화번호를 제출하면 해당 정보가 속한 계정 이름이 반환되는 방식이었습니다.XNUMX 신원 미상의 공격자가 이 취약점을 악용하여 전화번호와 이메일 주소에 연결된 수백만 개의 사용자 계정 목록을 수집했습니다. 트위터는 누구나 두 개의 속성을 연결할 수 있도록 허용함으로써, 의도치 않게 가명 사용자를 더욱 구체적으로 식별할 수 있도록 했습니다.
개발자로서 이를 방지하려면 어떻게 해야 하나요?
개발자는 특정 객체 속성에 접근하거나 변경할 수 있는 권한에 대한 적절한 제어를 항상 구현해야 합니다. to_json() 및 to_string()과 같은 일반 메서드에서 흔히 발생하는 것처럼 모든 속성을 포함하는 일반 데이터 구조를 반환하는 대신, 프로그래머는 반환하는 정보를 매우 구체적으로 지정해야 합니다. 보안 강화를 위해 애플리케이션은 API 메서드에서 반환되는 모든 데이터에 보안 제어를 적용하는 스키마 기반 응답 검증을 구현해야 합니다. 액세스는 최소 권한 원칙을 따라야 하며, 절대적으로 필요한 경우에만 액세스를 허용해야 합니다.
OpenText는 어떻게 도움을 줄 수 있나요?
OpenTextTM 정적 애플리케이션 보안 테스트는 데이터 흐름 분석을 통해 과도한 데이터 노출과 대량 할당을 방지합니다. 이 시스템은 변수 이름이나 특정 API 호출을 기반으로 하는 개인 데이터 등 다양한 출처를 강조 표시하고 대량 할당이 가능한 객체를 식별합니다. 사용자는 직접 출처를 정의하여 프로그램을 통해 데이터를 추적하고, 데이터가 부적절한 위치에 있을 경우 개발자 또는 운영자에게 위험을 알릴 수 있습니다.

14 Twitter의 일부 계정과 개인 정보에 영향을 미치는 사고. Twitter 개인정보 보호센터. Twitter. Web 페이지. 5년 2022월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

10/23

요청을 충족하기 위해 할당된 리소스를 제한하지 않는 애플리케이션은 할당 가능한 메모리, 리소스 수를 제한하지 못하는 애플리케이션을 포함하여 취약할 수 있습니다. file기타 속성 중에는 액세스된 s 또는 프로세스, 허용된 요청 속도 등이 있습니다.

또한, OpenText SAST는 가장 중요한 JSON 및 XML 직렬화 및 역직렬화 메커니즘에 대한 지식을 보유하고 있습니다. 이를 통해 이 도구는 도메인 전송 객체(DTO)를 제대로 역직렬화하지 못하는 코드를 감지할 수 있으며, 이러한 코드는 속성의 대량 할당을 허용할 수 있습니다. OpenText 동적 애플리케이션 보안 테스트를 사용하여 일부 정보 노출 및 대량 할당 사례를 탐지할 수도 있습니다. 마지막으로, 규칙을 추가하여 몇 가지 대응책을 구현할 수 있습니다. web 애플리케이션 방화벽(WAF).
API4:2023–제한 없는 리소스 소비
그것은 무엇입니까?
API는 여러 유용한 비즈니스 기능을 제공합니다. 이를 위해 데이터베이스 서버와 같은 컴퓨팅 리소스를 사용하거나 운영 기술을 통해 물리적 구성 요소에 접근할 수 있습니다. 시스템은 API 호출에 응답할 수 있는 리소스가 한정되어 있기 때문에, 공격자는 리소스 고갈, 서비스 거부(DoS) 또는 비즈니스 비용 증가를 초래하는 시나리오를 만들어내기 위해 특수한 요청을 조작할 수 있습니다. 많은 경우, 공격자는 상당한 리소스를 소모하는 API 요청을 전송하여 시스템 또는 대역폭 리소스를 과부하시키고 서비스 거부(DoS) 공격을 유발할 수 있습니다. 공격자는 여러 IP 주소 또는 클라우드 인스턴스에서 반복적인 요청을 전송함으로써, 의심스러운 사용량 급증을 탐지하도록 설계된 방어 시스템을 우회할 수 있습니다.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
API 요청은 응답을 유발합니다. 이러한 응답이 데이터베이스 접근, I/O 수행, 계산 실행 또는 (점점 더 늘어나는) 머신 러닝 모델의 출력 생성을 포함하든, API는 컴퓨팅, 네트워크 및 메모리 리소스를 사용합니다. 공격자는 서비스 거부(DoS) 공격의 일환으로 엔드포인트에 API 요청을 보낼 수 있는데, 이는 볼륨 기반 DoS 공격의 목표인 대역폭 과부하가 아닌 CPU, 메모리 및 클라우드 리소스를 고갈시킵니다. 요청을 처리하는 데 할당된 리소스를 제한하지 않는 애플리케이션은 취약할 수 있으며, 여기에는 할당 가능한 메모리, file기타 속성 중에는 액세스된 s 또는 프로세스, 허용된 요청 속도 등이 있습니다.
API를 처리하는 서버에는 과도한 메모리 및 작업 부하 할당, API 트리거 작업에 대한 과도한 요청, 지출 한도가 없는 타사 서비스에 대한 과도한 요금 등을 방지하기 위한 제한이 있어야 합니다.
일반적인 공격 방법은 API 엔드포인트에 전달된 인수를 수정하는 것입니다. 예를 들어, 응답 크기를 늘리거나 처음 10개가 아닌 수백만 개의 데이터베이스 항목을 요청하는 것입니다.
/api/users?page=1&size=1000000
또한, 공격자가 사용료를 부과하는 백엔드 서비스에 접근할 수 있는 경우, 리소스 소모 공격을 통해 애플리케이션 소유자에게 요금을 부과할 수 있습니다. 또 다른 OWASP 사례ample는 신원을 확인하기 위해 SMS 문자 메시지를 사용하는 비밀번호 재설정 기능을 가리키며, 피해자의 비용을 증가시키기 위해 수천 번 전화를 걸 수 있습니다.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

11/23

CDN(콘텐츠 전송 네트워크)과 페어링하여 네트워크 가장자리에서 필터링 web 애플리케이션 방화벽(WAF)은 개별 사용자에게 미치는 영향을 최소화하는 동시에 트래픽 폭주를 줄일 수 있습니다.

POST /sms/send _ 재설정 _ 비밀번호 _ 코드
호스트: willyo.net {
“전화번호”: “6501113434” }
공격 전amp레
리소스 소모 공격은 종종 성능 및 가용성 문제와 함께 고려되기 때문에, 표적 기업은 이를 보고해야 할 사고로 보기보다는 사업 운영 비용의 일부로 간주하는 경향이 있어 위협에 대한 가시성이 낮아집니다. 2022년에는 API 리소스 소모 공격의 상위 개념인 애플리케이션 계층 분산 서비스 거부(DDoS) 공격이 전체 공격에서 차지하는 비중이 감소했지만, 4년 2022분기에는 전년 동기 대비 79% 증가한 공격이 발생했습니다.15
2015년에 설명된 한 공격에서 개발자는 자사 사이트에 반복적으로 접속하는 Android 클라이언트를 감지했습니다. Web 무작위로 생성된 API 키를 사용하여 서비스 거부(DoS) 공격을 유발했습니다. 개발자는 안드로이드 기기에 설치된 악성 애플리케이션이 64비트 API 키를 추측하려 시도하고 있다고 가정했습니다.16
개발자로서 이를 방지하려면 어떻게 해야 하나요?
속도 제한과 임계값을 사용하면 대부분의 리소스 소모 공격을 무력화할 수 있지만, 제대로 구축되지 않은 방어 체계는 정상적인 트래픽에도 영향을 미칠 수 있습니다. 다음과 같은 사항에 대해 구체적인 제한을 설정해야 합니다.
· 메모리 할당
· 프로세스
· 클라우드 인스턴스
· 업로드됨 file 설명자 및 file 크기
· 기록 반환됨
· 제3자 서비스에 대한 유료 거래 건수
· 모든 수신 매개변수(예: 문자열 길이, 배열 길이 등)
· 특정 시간 창 내 클라이언트당 API 상호 작용 수
CDN(콘텐츠 전송 네트워크)과 페어링하여 네트워크 가장자리에서 필터링 web 애플리케이션 방화벽(WAF)은 개별 사용자에게 미치는 영향을 최소화하면서 트래픽 폭주를 줄일 수 있습니다. 애플리케이션 제공 플랫폼은 메모리, CPU, 프로세스 제한을 포함한 간편한 필터링을 지원합니다.
15 요아키믹, 오메르. 2022년 4분기 Cloudflare DDoS 위협 보고서. Cloudflare 블로그. Web 페이지. 10년 2023월 XNUMX일.
16 해킹/DOS 공격을 막는 방법 web API.스택오버플로우. Web 페이지. 15년 2015월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

12/23

OpenText 동적 애플리케이션 보안 테스트(DAST)는 서비스에 영향을 주지 않고 서버와 API 함수의 서비스 거부 공격 취약성을 테스트할 수 있습니다. 또한, DAST 검사를 실행하는 것만으로도 잠재적인 리소스 소모 취약점을 파악할 수 있을 만큼 충분한 환경 스트레스 테스트를 수행할 수 있습니다.

OpenText는 어떻게 도움을 줄 수 있나요?
OpenText SAST 및 OpenText Dynamic Application Security Testing을 통해 DevSecOps 팀은 리소스 고갈 공격에 대한 코드와 인프라의 복원력을 테스트할 수 있습니다. OpenText SAST는 공격자가 애플리케이션 로직을 악용하여 과도한 리소스 소모를 유발할 수 있는 여러 영역을 발견할 수 있습니다.
코드 수준 보안만으로는 애플리케이션의 이 문제를 해결하기에 충분하지 않습니다. 리소스 고갈 및 속도 제한은 런타임에 완화되어야 하는 서비스 거부 공격의 특정 하위 영역입니다. OpenText Dynamic Application Security Testing은 서비스에 영향을 미치지 않고 서버와 API 함수의 서비스 거부 공격 취약성을 테스트할 수 있습니다. 또한, DAST 검사를 실행하는 것만으로도 잠재적인 리소스 소모 취약점을 파악할 수 있을 만큼 충분한 환경 스트레스 테스트를 수행할 수 있습니다.
API5:2023–손상된 기능 수준 권한 부여
그것은 무엇입니까?
최신 애플리케이션에는 데이터에 액세스하고, 생성하고, 조작하고, 삭제하고, 관리하는 다양한 기능이 있습니다. 모든 애플리케이션 사용자가 모든 기능이나 모든 데이터에 접근할 필요는 없으며, 최소 권한 원칙에 따라 접근이 허용되어서도 안 됩니다. 모든 API 엔드포인트에는 익명 사용자, 일반 비권한 사용자, 그리고 권한이 있는 사용자가 포함될 수 있는 대상 사용자가 있습니다. 관리 및 관리 기능은 권한 부여가 필요하지만, 권한이 없는 사용자의 합법적인 API 호출을 통해 접근되는 경우가 있는데, 이것이 바로 기능 수준 권한 손상의 원인입니다. 서로 다른 계층, 그룹, 역할로 인해 액세스 제어가 복잡해지기 때문에 애플리케이션 함수는 호출 가능한 사용자에 대한 적절한 제한이 없을 수 있습니다.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
특정 기능이 관리 작업을 수행할 수 있도록 허용하는 애플리케이션은 해당 기능에 대한 접근을 안전하게 제한할 수 없습니다. 이러한 기능에 직접 매핑되는 API는 이러한 취약점을 악용할 수 있습니다. 애플리케이션의 인증 및 권한 부여 메커니즘을 사용하지 않는 기능은 잠재적 보안 취약점으로 간주해야 합니다.
전 애인에서ampOWASP에서 인용한 내용에 따르면, 공격자는 초대된 사용자를 새 모바일 애플리케이션에 추가하는 API 요청에 접근하여 초대에 초대 대상자의 역할 정보가 포함되어 있음을 확인합니다. 이 취약점을 악용하여 공격자는 새로운 초대를 전송합니다.
POST /api/invites/new
{
“이메일”: “attacker@somehost.com”,
“역할”:”관리자”
} 이를 통해 시스템에 대한 관리 권한을 얻을 수 있습니다.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

13/23

DevSecOps 팀은 기본적으로 요청에 대한 액세스를 차단하고 "모두 거부"라는 기본값을 적용하는 권한 부여 및 인증에 대한 표준 접근 방식을 설계해야 합니다.
애플리케이션 제어 및 로직 흐름은 모든 온라인 비즈니스의 핵심이며, 기업들이 운영을 클라우드로 더 많이 이전함에 따라 이러한 흐름이 노출되고 악용될 수 있습니다. 이러한 과도한 접근은 비즈니스에 악영향을 미칠 수 있습니다.

공격 전amp레
2022년, 텍사스 보험국은 근로자 보상 신청서의 일부에서 약 17만 명의 텍사스 주민 정보가 유출되어 일반인이 보호된 데이터에 무심코 접근할 수 있게 되었다고 발표했습니다.2022 10년 발생한 두 번째 사건에서 호주 통신 회사 옵터스는 인증이나 허가가 필요 없는 API를 통해 최대 18천만 명의 호주 주민의 개인 및 계정 정보가 유출되었음을 인정했습니다. 옵터스는 이 공격을 "정교한" 공격이라고 칭했지만, 공격 세부 사항에 정통한 한 보안 연구원은 "사소한" 공격이라고 설명했습니다.XNUMX
개발자로서 이를 방지하려면 어떻게 해야 하나요?
DevSecOps 팀은 기본적으로 요청에 대한 접근을 차단하고 "모두 거부"를 기본값으로 적용하는 인증 및 권한 부여에 대한 표준 접근 방식을 설계해야 합니다. 이 기본값에서 역할/그룹/사용자의 접근 권한을 결정할 때는 항상 최소 권한 원칙을 적용해야 합니다. 개발자는 각 API 엔드포인트와 관련된 모든 관련 HTTP 동사/메서드(예: POST, GET, PUT, PATCH, DELETE)에 대해 인증 및 권한 부여가 설정되어 있는지 확인해야 합니다. 관련 없는 동사는 허용하지 않아야 합니다. 또한, 개발자는 클래스 상속을 사용하여 권한 부여 제어가 접근 권한을 부여하기 전에 사용자 역할을 확인하도록 관리 접근 및 관리를 위한 기본 클래스를 구현해야 합니다. 모든 중요 관리 기능은 권한 상승을 방지하기 위해 권한 부여 메커니즘을 사용해야 합니다.
OpenText는 어떻게 도움을 줄 수 있나요?
OpenText™ 정적 애플리케이션 보안 테스트의 정적 코드 및 API 분석 기능과 OpenText 동적 애플리케이션 보안 테스트(DAST) 제품군의 런타임 검사를 결합함으로써 DevSecOps 팀은 애플리케이션의 기능 수준 권한 부여 문제를 평가하고 배포 전에 프로덕션 코드의 보안 취약점을 지속적으로 테스트할 수 있습니다. OpenText™ 정적 애플리케이션 보안 테스트는 특정 프로그래밍 언어 및 프레임워크에서 권한 부여 검사가 필요한 시점과 그러한 검사가 없는 시점을 지정하는 규칙을 사용합니다.
API6:2023 – 민감한 비즈니스 흐름에 대한 무제한 액세스
그것은 무엇입니까?
스니커봇부터 티켓봇까지, 온라인 소매업체의 API를 통한 재고 공격은 전자상거래 사이트에 심각한 문제가 되고 있습니다. 공격자는 비즈니스 모델과 애플리케이션 로직을 이해함으로써 자동으로 예약 또는 구매할 수 있는 일련의 API 호출을 생성할 수 있습니다.
17 비퍼먼, 제이슨. 감사원 발표에 따르면, 보험청구 대상인 텍사스 주민 1.8만 명의 개인 정보가 수년간 노출된 것으로 드러났습니다. 텍사스 트리뷴. 17년 2022월 XNUMX일.
18 테일러, 조쉬. 옵터스 데이터 유출: 지금까지 알려진 모든 사건. 가디언. 28년 2022월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

14/23

민감한 비즈니스 흐름에 대한 무제한 액세스를 방지하려면 특정 기술을 찾는 것보다 애플리케이션 보안에 대한 전체적인 접근 방식이 더 중요합니다.

재고를 확보하여 다른 합법적인 소비자가 해당 기업의 제품이나 서비스에 접근하지 못하도록 합니다. 비즈니스 프로세스에 접근할 수 있는 모든 API는 공격자가 비즈니스에 영향을 미치는 데 악용될 수 있으며, 이는 민감한 비즈니스 흐름에 대한 무제한 접근의 정의에 해당합니다.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
애플리케이션 제어 및 로직 흐름은 모든 온라인 비즈니스의 핵심이며, 기업들이 운영을 클라우드로 더 많이 이전함에 따라 이러한 흐름이 노출되고 악용될 수 있습니다. 공격자가 제품 구매를 자동화하고, 댓글을 남기는 봇을 생성하고, 재실행하는 등 과도한 접근은 비즈니스에 피해를 줄 수 있습니다.view또는 상품이나 서비스의 예약을 자동화합니다.
애플리케이션이 엔드포인트 뒤에 있는 비즈니스 운영에 대한 접근을 제한하지 않으면서 회사 비즈니스 흐름에 접근할 수 있는 엔드포인트를 제공하는 경우, 해당 애플리케이션은 취약해집니다. 지문 인식을 통해 단일 기기의 접근 시도 횟수를 제한하고, 해당 활동이 인간 행위자로부터 시작되었는지 감지하고, 자동화가 포함되어 있는지 감지하는 등의 보호 조치가 필요합니다.
공격 전amp레
2022년 1.5월 티켓마스터에서 테일러 스위프트 티켓이 판매되었을 때 14만 명의 고객이 사전 등록했지만 XNUMX배나 많은 봇 트래픽을 포함하여 XNUMX만 건 이상의 요청이 접수되었습니다.amp티켓 판매가 시작되자마자 구매 링크와 API를 업데이트했습니다. 사이트가 다운되어 많은 고객이 티켓을 구매할 수 없었습니다.19
리셀러 봇의 맹공격은 5년 2020월 플레이스테이션 15,000 출시를 망쳤던 사건과 유사했습니다. 공급망 문제로 최신 소니 게임 콘솔 출시 전부터 공급이 제한되어 있었지만, 자동화된 봇으로 인해 구매 가능한 제품을 찾는 것이 더욱 어려워졌고, 재판매 가격이 천문학적으로 치솟았습니다. 한 전자상거래 사이트의 경우, 매장의 API를 사용하여 SKU 번호로 제품을 직접 요청하는 "장바구니 담기" 거래 건수가 시간당 평균 27건에서 20만 건 이상으로 증가했습니다.XNUMX
개발자로서 이를 방지하려면 어떻게 해야 하나요?
개발자는 비즈니스 운영팀 및 엔지니어링팀 모두와 협력하여 비즈니스 플로우에 대한 잠재적 악의적 접근 문제를 해결해야 합니다. 비즈니스팀은 API를 통해 노출된 플로우를 파악하고 위협 분석을 수행하여 공격자가 해당 엔드포인트를 어떻게 악용할 수 있는지 파악할 수 있습니다. 한편, 개발자는 DevOps팀의 일원으로 엔지니어링 운영팀과 협력하여 자동화된 브라우저 인스턴스가 과부하되는 것을 방지하기 위해 장치 핑거프린팅을 사용하고, 인간과 기계의 행위를 구분하는 행동 패턴을 식별하는 등 추가적인 기술적 방어 수단을 구축해야 합니다.
19 스틸, 빌리. 티켓마스터는 봇 문제가 있음을 알고 있지만, 의회의 해결을 원하고 있습니다. Engadget. 뉴스 기사. ​​24년 2023월 XNUMX일.
20 무완디, 타파라, 워버튼, 데이비드. 봇이 수백만 게이머의 PlayStation 5 출시를 어떻게 망쳤는가. F5 Labs 블로그. F5. Web 페이지. 18년 2023월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

15/23

가장 잘 알려진 전직ampSSRF 공격에는 전 아마존이 연루되었습니다. Web 잘못 구성된 AWS 서비스를 악용한 AWS 엔지니어 web 애플리케이션 방화벽(WAF)을 사용하여 SSRF 결함을 이용해 금융 대기업 Capital One에 속한 서버 인스턴스에서 데이터를 수집했습니다.

운영팀도 다시 해야 합니다.view B2B 사용 사례와 같이 다른 기계에서 사용하도록 설계된 모든 API를 보호하고, 공격자가 기계 간 상호 작용을 악용하지 못하도록 방어 수단을 마련해야 합니다.
OpenText는 어떻게 도움을 줄 수 있나요?
취약하고 민감한 비즈니스 흐름을 포착하는 것은 종종 기본적인 조치에 달려 있습니다. 기업은 작동하는 모든 API를 문서화하고 추적하여 어떤 API가 잠재적 공격자에게 민감한 프로세스와 데이터를 노출하는지 파악해야 합니다. 또한 애플리케이션 로직을 분석하여 공격자가 악용할 수 있는 로직 결함을 찾아내야 합니다.
전반적으로, 민감한 비즈니스 흐름에 대한 무제한 액세스를 방지하려면 특정 기술을 찾는 것보다 애플리케이션 보안에 대한 전체적인 접근 방식이 더 중요합니다.
API7:2023–서버 측 요청 위조
그것은 무엇입니까?
백엔드 서버는 API 엔드포인트를 통해 전송된 요청을 처리합니다. 서버 측 요청 위조(SSRF)는 공격자가 서버가 자신의 권한으로 요청을 보내도록 유도할 수 있는 취약점입니다. 이 공격은 종종 서버를 이용하여 외부 공격자와 내부 네트워크 사이의 틈을 메웁니다. 기본 SSRF 공격은 공격자에게 응답이 반환되는 결과를 가져오는데, 이는 응답이 반환되지 않아 공격자가 공격 성공 여부를 확인할 수 없는 블라인드 SSRF 공격보다 훨씬 쉬운 시나리오입니다.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
서버 측 요청 위조(SSRF) 취약점은 본질적으로 사용자가 제공한 입력에 대한 검증이 부족하여 발생합니다. 공격자는 요청을 작성하고 대상 애플리케이션에 대한 접근 권한을 제공하는 URI를 포함할 수 있습니다.
애플리케이션 개발의 현대적 개념, 예: webOWASP에 따르면, 후크와 표준화된 애플리케이션 프레임워크로 인해 SSRF가 더 흔해지고 위험해졌습니다.
전 애인에서ampOWASP에서 인용한 소셜 네트워크는 사용자가 프로를 업로드할 수 있도록 합니다.file 서버가 애플리케이션으로 전송된 인수의 유효성을 검사하지 않으면 사진이 SSRF에 취약해질 수 있습니다. URL 다음과 같은 이미지를 가리킴:
POST /api/profile/사진 업로드
{
"그림 _ url”: “http://example.com/profile _ pic.jpg”
}
공격자는 다음 API 호출을 사용하여 특정 포트가 열려 있는지 확인할 수 있는 URI를 보낼 수 있습니다.
{ "그림 _ url”: “로컬호스트:8080”
}

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

16/23

보안 오류에는 취약한 기본 구성으로 애플리케이션을 설정하는 것, 중요한 기능과 데이터에 대한 지나치게 관대한 액세스를 허용하는 것, 자세한 오류 메시지를 통해 애플리케이션 정보를 공개적으로 공개하는 것이 포함됩니다.

Blind SSRF 사례에서도 공격자는 응답을 받는 데 걸리는 시간을 측정하여 포트가 열려 있는지 알아낼 수 있습니다.
공격 전amp레
가장 잘 알려진 전직ampSSRF 공격에는 전 아마존이 연루되었습니다. Web 잘못 구성된 AWS 서비스를 악용한 AWS 엔지니어 web 애플리케이션 방화벽(WAF)을 사용하여 SSRF 취약점을 악용하여 금융 대기업 캐피털 원(Capital One)의 서버 인스턴스에서 데이터를 수집했습니다. 2019년 100월에 발생한 이 사건으로 약 21억 명의 미국 시민과 22만 명의 캐나다 시민의 데이터가 유출되었습니다.XNUMX 아마존은 SSRF 취약점보다는 잘못된 구성이 이번 침해의 원인이라고 보고 있습니다.XNUMX
2022년 23월, 한 클라우드 보안 업체가 마이크로소프트의 주력 클라우드 플랫폼인 Azure에서 발견된 SSRF 취약점 XNUMX개를 마이크로소프트에 신고했습니다. 각 취약점은 Azure Machine Learning 서비스와 Azure API Management 서비스를 포함한 다양한 Azure 서비스에 영향을 미쳤습니다.XNUMX
개발자로서 이를 방지하려면 어떻게 해야 하나요?
개발자는 리소스 가져오기 메커니즘을 코드에 캡슐화하고, 기능을 격리하며, 추가 보호 기능을 계층화하여 모든 요청을 검증해야 합니다. 이러한 기능은 일반적으로 내부 리소스가 아닌 원격 리소스를 가져오는 데 사용되므로, 개발자는 캡슐화된 기능이 허용된 원격 리소스 목록을 사용하고 내부 리소스에 대한 접근 시도를 차단하도록 구성해야 합니다. 리소스 가져오기 기능과 악성 코드 분석이 필요한 모든 요청에 ​​대해 HTTP 리디렉션을 비활성화해야 합니다.
SSRF 취약점으로 인한 위험을 항상 완전히 없앨 수는 없으므로, 회사에서는 외부 리소스에 대한 호출을 사용할 때의 위험을 주의 깊게 고려해야 합니다.
OpenText는 어떻게 도움을 줄 수 있나요?
OpenText 동적 애플리케이션 보안 테스트를 통해 DevSecOps 팀은 서버 측 요청 위조를 정기적으로 테스트할 수 있습니다. OpenTextTM 동적 애플리케이션 보안 테스트는 구성된 환경에서 애플리케이션 서버를 스캔하여 애플리케이션, 서버, 네트워크 등 모든 구성 요소를 테스트할 수 있도록 하여 동적 분석 플랫폼에 포괄적인 보안 기능을 제공합니다. view 서버 요청의 영향에 대해서.
OpenText SAST는 오염 분석을 통해 많은 SSRF 사례를 감지할 수 있습니다.ample, 응용 프로그램이 검증되지 않은 사용자 입력을 사용하여 구성하는 경우 URL 그러면 해당 정보가 가져오게 됩니다. 이 도구는 제한 없는 사용자 입력 사용을 표시합니다.

21 Capital One 사이버 사건 관련 정보. Capitol One Advisory. Web 페이지. 22년 2022월 XNUMX일 업데이트됨.
22 Ng, Alfred. 아마존, 상원의원들에게 Capital One 보안 침해에 대한 책임이 없다고 밝힘. CNET News.com. 뉴스 기사. ​​21년 2019월 XNUMX일.
23 Shitrit, Lidor Ben. Orca가 XNUMX개의 Azure 서비스에서 서버 측 요청 위조(SSRF) 취약점을 발견한 방법. Orca 보안 블로그. Web 페이지. 17년 2023월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

17/23

보안 코드를 사용하면 구성을 반복 가능하게 만들고 애플리케이션 보안 팀이 특정 애플리케이션 구성 요소에 대한 표준 구성 세트를 설정할 수 있어 도움이 될 수 있습니다.

API8:2023–보안 오류
그것은 무엇입니까?
개발자는 종종 애플리케이션을 잘못 구성하여 개발 자산과 프로덕션 자산을 분리하지 못하고 중요한 자산을 내보내지 못합니다. files–such 구성 files–를 공개 저장소에 추가하고 기본 구성을 변경하지 않는 경우. 보안 오류에는 취약한 기본 구성으로 애플리케이션을 설정하거나, 민감한 기능 및 데이터에 대한 과도한 접근을 허용하거나, 자세한 오류 메시지를 통해 애플리케이션 정보를 공개적으로 노출하는 경우가 포함됩니다.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
기본 애플리케이션 구성은 종종 지나치게 관대하고 보안 강화가 부족하며 클라우드 스토리지 인스턴스를 대중에게 공개하는 경우가 많습니다. web 애플리케이션의 기반이 되는 프레임워크에는 필요하지 않은 애플리케이션 기능이 많이 포함되어 있으며, 이러한 기능을 포함하면 보안이 약화됩니다.
전 애인에서ampOWASP에서 자세히 설명한 대로 직접 메시지 기능을 제공하는 소셜 네트워크는 사용자의 개인 정보를 보호해야 하지만 다음 예제를 사용하여 특정 대화를 검색하기 위한 API 요청을 제공합니다.ampAPI 요청:
GET /dm/user _ updates.json?conversation _ id=1234567&cursor=GRlFp7LCUAAAA
API 엔드포인트는 캐시에 저장된 데이터를 제한하지 않으므로 개인 대화가 캐시됩니다. web 브라우저. 공격자는 브라우저에서 정보를 추출하여 피해자의 개인 메시지를 노출시킬 수 있습니다.
공격 전amp레
2021년 47월, 한 클라우드 보안 회사는 최소 38명의 고객이 Microsoft Power Apps 인스턴스의 기본 구성을 변경하지 않았다고 Microsoft에 통보했습니다. 영향을 받은 조직에는 아메리칸 항공과 Microsoft와 같은 기업과 인디애나주와 메릴랜드주와 같은 주 정부가 포함되었으며, Power Apps 포털 전반에서 24만 개의 레코드가 잠재적인 침해 위험에 노출되었습니다.XNUMX
2022년 취약성 관리 회사는 Amazon에서 호스팅되는 12,000개의 클라우드 인스턴스가 Web 10,500년 보고서에 따르면, Azure에서 호스팅되는 2022개의 서비스와 Telnet은 "현재 인터넷 기반 사용에 부적절한" 원격 액세스 프로토콜로 간주되는 것으로 계속 노출되어 있습니다.25 불필요하고 안전하지 않은 기능을 포함하면 API와 애플리케이션의 보안이 약화됩니다.

24 Upguard Research. 의도적인 접근: Microsoft Power Apps의 기본 권한으로 수백만 명이 노출된 사례. Upguard Research 블로그. Web 페이지. 23년 2021월 XNUMX일.
25 비어즐리, 토드. 2022 클라우드 구성 오류 보고서. Rapid7. PDF 보고서. 12쪽. 20년 2022월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

18/23

문서 사각지대란 API의 목적, 기능 및 버전 관리에 대한 세부 정보가 이러한 중요한 속성을 자세히 설명하는 문서가 부족하여 불분명한 경우를 말합니다.

이를 방지하려면 어떻게 해야 하나요?
DevSecOps 팀은 애플리케이션에 대한 보안 구성을 생성하는 데 필요한 단계를 이해하고 자동화된 개발 파이프라인을 사용하여 구성을 확인해야 합니다. file배포 전에 정기적인 단위 테스트와 런타임 검사를 통해 소프트웨어의 구성 오류나 보안 문제를 지속적으로 점검합니다. 코드형 보안(Security-as-code)은 구성을 반복 가능하게 만들고 애플리케이션 보안 팀이 특정 애플리케이션 구성 요소에 대한 표준 구성 집합을 설정할 수 있도록 지원하여 도움이 될 수 있습니다.
안전한 개발 라이프사이클의 일환으로 개발자와 운영 팀은 다음을 수행해야 합니다.
· 보안 애플리케이션 환경의 반복적인 생성 및 유지 관리를 단순화하는 강화 프로세스를 구축합니다.
· 답장view 그리고 API 스택 전체의 모든 구성을 업데이트하여 새로운 표준을 일관되게 통합합니다.
· 모든 환경에서 구성 설정의 효과에 대한 평가를 자동화합니다.
OpenText는 어떻게 도움을 줄 수 있나요?
OpenText 정적 애플리케이션 보안 테스트는 개발 과정에서 구성을 확인하고 다양한 유형의 취약점을 발견할 수 있습니다. 보안 오류는 애플리케이션 코드 수준과 인프라 수준 모두에서 발생하기 때문에 다양한 OpenText 제품을 사용하여 오류 구성을 포착할 수 있습니다.
OpenText 정적 애플리케이션 보안 테스트 검사는 애플리케이션 코드의 구성 오류를 검사할 수 있습니다. 정적 분석 검사 중에 OpenText SAST는 구성을 평가할 수 있습니다. fileDocker, Kubernetes, Ansible, Amazon을 포함한 보안 오류에 대한 s Web 서비스, ​​CloudFormation, Terraform 및 Azure Resource Manager 템플릿.
구성 오류는 런타임 중에도 발견될 수 있습니다. OpenText Dynamic Application Security Testing을 통해 DevSecOps 팀은 일반적인 보안 구성 오류를 정기적으로 테스트할 수 있습니다. DAST 스캐닝의 가장 큰 장점 중 하나는 구성된 환경의 애플리케이션 서버에서 실행된다는 것입니다. 즉, 애플리케이션, 서버, 네트워크 등 전체 환경을 한 번에 테스트하여 동적 분석 플랫폼에 포괄적인 정보를 제공합니다. view 프로덕션 환경이 구성되었습니다.
API9:2023–부적절한 재고 관리
그것은 무엇입니까?
대부분의 소프트웨어 자산과 마찬가지로 API에는 수명 주기가 있으며, 이전 버전은 더 안전하고 효율적인 API로 대체되거나 점점 더 많은 API가 타사 서비스에 연결됩니다. API 버전과 문서를 유지 관리하지 않는 DevSecOps 팀은 오래되고 결함이 있는 API 버전을 계속 사용할 경우 취약점을 유발할 수 있습니다. 이러한 취약점은 부적절한 재고 관리(Improper Inventory Management)로 알려져 있습니다. 재고 관리 모범 사례에는 다음 항목의 추적이 필요합니다.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

19/23

API 버전 관리, 통합 서비스의 정기적 평가 및 인벤토리 관리, 그리고 보안 취약점 확산을 방지하기 위한 레거시 버전의 정기적 중단.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
API에 의존하는 소프트웨어 아키텍처(특히 마이크로서비스 아키텍처를 사용하는 아키텍처)는 기존 아키텍처보다 더 많은 엔드포인트를 노출하는 경향이 있습니다. web 애플리케이션. API 엔드포인트의 수가 너무 많고, 동시에 여러 버전의 API가 존재할 가능성이 높기 때문에 공격 표면 확장을 방지하기 위해 API 제공업체의 추가적인 관리 리소스가 필요합니다. OWASP는 DevSecOps 팀이 API 인프라와 관련하여 가질 수 있는 두 가지 주요 맹점을 지적합니다.
첫째, 문서 사각지대란 API의 목적, 기능, 버전 관리에 대한 세부 정보가 이러한 중요한 속성을 자세히 설명하는 문서가 부족하여 불분명한 경우를 말합니다.
둘째, 데이터 흐름 사각지대는 API가 명확하지 않은 방식으로 사용되어 강력한 비즈니스적 정당성 없이는 허용되어서는 안 될 기능이 발생할 때 발생합니다. 보안 보장 없이 제3자와 민감한 데이터를 공유하거나, 데이터 흐름의 최종 결과를 명확하게 파악하지 못하거나, 체인 API에서 모든 데이터 흐름을 매핑하지 못하는 것은 모두 사각지대입니다.
전직으로서ampOWASP 보고서는 타사 독립 애플리케이션과의 통합을 허용하는 가상의 소셜 네트워크를 예로 들었습니다. 최종 사용자의 동의가 필요하지만, 이 소셜 네트워크는 데이터 흐름에 대한 충분한 가시성을 유지하지 못해 하위 당사자들이 데이터에 접근하는 것을 차단하지 못합니다. 예를 들어, 사용자뿐만 아니라 친구들의 활동까지 모니터링하는 등의 행위가 있습니다.
공격 전amp레
2013년과 2014년에 페이스북 플랫폼에서 최대 300,000만 명이 온라인 심리 퀴즈에 참여했습니다. 이 퀴즈를 개발한 회사인 케임브리지 애널리티카는 해당 사용자들뿐만 아니라 연결된 친구들의 정보도 수집했습니다. 총 87만 명에 달하는 이 친구들 중 대다수는 정보 수집에 동의하지 않았습니다. 케임브리지 애널리티카는 이 정보를 활용하여 고객을 대신하여 해당 사용자들에게 맞춤 광고와 메시지를 발송했는데, 여기에는 트럼프 대통령을 지지하는 정치 광고도 포함되었습니다.amp2016년 선거에서 Facebook이 자사 플랫폼에서 수집한 정보를 제26자가 어떻게 사용했는지에 대한 가시성이 부족한 것은 전례가 없습니다.amp부적절한 재고 관리의 문제.
개발자로서 이를 방지하려면 어떻게 해야 하나요?
DevSecOps 팀은 모든 API 호스트를 문서화하고 API와 타사 서비스 간의 데이터 흐름에 대한 가시성을 유지하는 데 집중해야 합니다. 부적절한 재고 관리를 방지하는 가장 중요한 방법은 모든 API 서비스와 호스트의 주요 측면, 즉 처리하는 데이터, 호스트 및 데이터에 대한 접근 권한자 등에 대한 정보를 상세히 문서화하는 것입니다.
26 로젠버그, 매튜, 댄스, 가브리엘. `당신은 상품이다': 페이스북에서 케임브리지 애널리티카의 표적. 뉴욕 타임스. 뉴스 기사. ​​8년 2018월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

20/23

조직은 OpenText의 OpenText Secure API Manager를 사용하여 API 사용을 관리, 모니터링, 보호하고 문서화할 수 있으며, 애플리케이션 보안 팀은 이를 통해 API 자산의 최신 인벤토리를 유지 관리할 수 있습니다.

각 호스트의 특정 API 버전. 문서화해야 하는 기술적 세부 사항에는 인증 구현, 오류 처리, 속도 제한 방어, 교차 출처 리소스 공유(CORS) 정책, 그리고 각 엔드포인트에 대한 세부 정보가 포함됩니다.
방대한 양의 문서를 수동으로 관리하기 어렵기 때문에, 지속적인 통합 프로세스를 통해 문서를 생성하고 개방형 표준을 사용하는 것이 좋습니다. 또한 API 문서 접근은 API 사용 권한이 있는 개발자로 제한해야 합니다.
애플리케이션 구축 및 테스트 단계에서 개발자는 개발 또는 테스트 단계에서 프로덕션 데이터를 사용하지 않아야 합니다.tag데이터 유출을 방지하기 위해 애플리케이션의 최신 버전을 유지해야 합니다. 새 버전의 API가 출시되면 DevSecOps 팀은 위험 분석을 수행하여 애플리케이션 업그레이드를 위한 최적의 방법을 결정해야 합니다.tag보안이 강화됨.
OpenText는 어떻게 도움을 줄 수 있나요?
조직은 OpenText™ Secure API Manager를 사용하여 API 사용을 관리, 모니터링, 보호 및 문서화할 수 있습니다. 애플리케이션 보안 팀은 이를 통해 API 자산의 최신 인벤토리를 유지할 수 있습니다. OpenText Secure API Manager는 DevSecOps 팀이 조직에서 사용하는 모든 API를 저장하고 관리할 수 있는 신뢰할 수 있는 저장소를 제공하여 API 개발부터 폐기까지 API 수명 주기를 손쉽게 관리할 수 있도록 지원합니다. 또한, 상세한 분석을 통해 규정 및 라이선스 준수를 개선하는 데 도움을 줍니다.
API10:2023–안전하지 않은 API 사용
그것은 무엇입니까?
네이티브 클라우드 인프라를 활용한 애플리케이션 개발이 증가함에 따라 API는 애플리케이션 구성 요소 간 통합의 핵심 요소가 되었습니다. 그러나 API를 통해 접근하는 타사 서비스의 보안 태세는 명확하지 않아 공격자가 애플리케이션이 어떤 서비스에 의존하는지, 그리고 해당 서비스에 보안 취약점이 있는지 파악할 수 있습니다. 개발자는 외부 또는 타사 API를 검증하지 않고 애플리케이션이 상호작용하는 엔드포인트만 신뢰하는 경향이 있습니다. 이러한 안전하지 않은 API 사용은 애플리케이션이 보안 요구 사항이 취약하거나 입력 검증과 같은 근본적인 보안 강화가 부족한 서비스에 의존하게 되는 결과를 초래합니다.
애플리케이션을 취약하게 만드는 요인은 무엇인가?
개발자들은 사용자 입력보다 타사 API에서 수신한 데이터를 더 신뢰하는 경향이 있습니다. 하지만 공격자에게는 두 가지 출처가 본질적으로 동일합니다. 이러한 잘못된 신뢰로 인해 개발자들은 입력값 검증 및 검증 부족으로 인해 취약한 보안 표준에 의존하게 됩니다.
다음과 같은 경우 애플리케이션에서 API의 안전하지 않은 소비가 발생할 수 있습니다.
· 암호화되지 않은 통신을 사용하여 다른 API를 사용하거나 소비합니다.
· 다른 API 또는 서비스의 데이터를 검증하고 정리하지 못함
· 보안 검사 없이 리디렉션을 허용하거나

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

21/23

개발자가 API 엔드포인트에서 반환된 데이터를 검증하기 위한 보안 검사를 애플리케이션에 코딩하지 않으면 해당 애플리케이션은 리디렉션을 따라 공격자에게 민감한 의료 정보를 전송하게 됩니다.
OWASP API 보안 10대 목록은 API를 구축하는 클라우드 네이티브 개발자에게 매우 중요합니다. 하지만 SQL 인젝션, 데이터 노출, 보안 설정 오류와 같은 일반적인 애플리케이션 취약점은 사이버 위협에 자주 악용되므로 우선적으로 해결해야 합니다. API 보안 10대 목록은 안전한 소프트웨어 개발에 필수적인 요소이지만, 일반적인 애플리케이션 취약점 해결에는 부차적인 요소입니다.

· 임계값과 시간 제한을 사용하여 리소스 소비를 제한하지 못합니다.
전 애인에서ampOWASP 보고서에 따르면, 민감한 사용자 의료 정보를 저장하기 위해 타사 서비스 제공업체와 통합되는 API가 API 엔드포인트를 통해 개인 데이터를 전송할 수 있습니다. 공격자는 타사 API 호스트를 침해하여 향후 요청에 308 영구 리디렉션(HTTP/1.1 308 영구 리디렉션)으로 응답할 수 있습니다.
위치: https://attacker.com/
개발자가 API 엔드포인트에서 반환된 데이터를 검증하기 위한 보안 검사를 애플리케이션에 코딩하지 않으면 해당 애플리케이션은 리디렉션을 따라 공격자에게 민감한 의료 정보를 전송하게 됩니다.
공격 전amp레
2021년 4월, 널리 사용되는 오픈소스 소프트웨어 구성 요소인 Log4J의 취약점으로 인해 공격자가 암호화된 스크립트와 같은 검증되지 않은 입력을 제공하고 취약한 Log4J 버전을 사용하여 서버에서 해당 스크립트를 실행할 수 있었습니다. Log27J 취약점의 원인은 입력 검증 부족, 특히 역직렬화된 사용자 제공 데이터에 대한 보안 검사 미실시였습니다. 직렬화된 악성 코드를 전송함으로써 공격자는 이 취약점을 악용하여 취약점이 있는 서버에 공격을 실행할 수 있었습니다. 개발자는 타사 API 및 기타 외부 소스에서 제공되는 모든 입력을 확인해야 합니다.XNUMX
이를 방지하려면 어떻게 해야 하나요?
개발자는 서비스 제공업체를 평가하고, API 보안 태세를 점검하고, 엄격한 보안 제어를 구현할 때 실사를 수행해야 합니다. 또한, 개발자는 타사 API와의 모든 통신, 그리고 타사에서 조직의 API로의 모든 통신이 스누핑 및 리플레이 공격을 방지하기 위해 안전한 통신 채널을 사용하는지 확인해야 합니다.
외부 사용자 및 머신으로부터 데이터를 수신할 때는 의도치 않은 코드 실행을 방지하기 위해 입력 데이터를 항상 정제해야 합니다. 마지막으로, API를 통해 통합된 클라우드 서비스의 경우, 모든 IP 주소가 애플리케이션 API를 호출하도록 무조건 허용하는 대신, 허용 목록을 사용하여 통합 솔루션의 주소를 잠가야 합니다.
OpenText는 어떻게 도움을 줄 수 있나요?
OpenText 정적 애플리케이션 보안 테스트의 정적 코드 및 API 분석 기능과 OpenText 동적 애플리케이션 보안 테스트(DAST) 제품군의 런타임 검사를 결합함으로써 DevSecOps 팀은 애플리케이션의 타사 API 사용을 확인하고 일반적인 공격 유형을 테스트할 수 있습니다. 안전하지 않은 API를 찾기 위해 OpenText Secure API Manager는 시스템에서 호출하는 모든 API와 애플리케이션의 API를 사용할 수 있는 외부 애플리케이션의 저장소를 구축합니다.
27 Microsoft 위협 인텔리전스. Log4j 2 취약점 악용 방지, 탐지 및 추적 지침. Microsoft. Web 페이지. 업데이트: 10년 2022월 XNUMX일.

API 보안을 위한 2023 OWASP Top 10 개발자 가이드

22/23

다음에 어디로 가야 할까
이 문서에 언급된 제품은 다음과 같습니다. OpenText Application Security >
OpenText 정적 애플리케이션 보안 테스트 >
OpenText 동적 애플리케이션 보안 테스트 >
OpenText 보안 API 관리자 >
추가 리소스 OWASP Top 10 API 보안 위험–2023 >
애플리케이션 보안 테스트를 위한 Gartner Magic Quadrant >
OpenText 애플리케이션 보안 Web이나르 시리즈 >

API 보안 상위 10개만으로는 충분하지 않습니다!
애플리케이션의 다른 부분, 내부 사용자 또는 글로벌 소비를 위해 서비스를 제공하는 API를 만드는 데 중점을 둔 클라우드 기반 개발자의 경우, OWASP API 보안 상위 10개 목록은 읽고 이해해야 할 중요한 문서입니다.
하지만 OWASP API 보안 Top 10은 독립형 문서가 아닙니다. 개발자는 현재 애플리케이션 및 아키텍처와 관련된 OWASP Top 10과 같은 다른 모범 사례 자료를 활용해야 합니다. SQL 인젝션, 데이터 노출, 보안 설정 오류와 같은 일반적인 애플리케이션 취약점은 사이버 위협 그룹이 기업 인프라를 침해할 수 있는 흔한 방법이므로 신속하게 해결해야 합니다. 또한, 모바일 앱과 같은 일부 API 기반 애플리케이션은 독립형 애플리케이션과는 다른 앱 보안 강화 단계가 필요합니다. web-앱이며, Connect 및 IoT 기기에 필요한 것과는 다릅니다. 전반적으로 API 보안 상위 10대 목록은 중요하지만, 이는 전체 보안 소프트웨어 개발 수명 주기의 일부에 불과합니다. 이 목록과 OWASP 상위 10대 목록은 분석 대상 솔루션에 필요한 다른 관련 표준 및 모범 사례와 함께 사용해야 합니다.
결론
애플리케이션이 점점 더 클라우드 인프라에 의존함에 따라 web 애플리케이션 프로그래밍 인터페이스(API)는 인터넷의 기반이 되었습니다. 기업들은 일반적으로 수백, 아니 수천 개의 API 엔드포인트를 운영 환경에 보유하고 있으며, 이로 인해 공격 표면이 크게 증가하고 애플리케이션이 다양한 취약점에 노출됩니다.
2023 OWASP API 보안 10대 목록 발표는 기업과 개발자가 API 기반 인프라의 위험을 파악하고 자체 애플리케이션을 평가하는 데 좋은 출발점이 될 것입니다. 널리 알려진 애플리케이션 보안 10대 목록과 함께, 이 두 가지 순위는 DevSecOps 팀이 애플리케이션의 전반적인 보안에 대한 종합적인 접근 방식을 개발하는 데 도움이 될 수 있습니다.
DevSecOps 팀은 API의 보안 영향, 구현의 취약성과 보안 약점을 줄이는 방법, 공격자가 API를 통해 애플리케이션을 손상시키기 어렵게 만들기 위해 개발 파이프라인과 그에 따른 API 서버를 강화하는 방법을 알아야 합니다.

저작권 © 2025 Open Text · 04.25 | 262-000177-001

문서 / 리소스

OpenText 262-000177-001 OWASP API 보안 상위 10개 [PDF 파일] 사용자 매뉴얼 262-000177-001, 262-000177-001 OWASP API 보안 상위 10개, 262-000177-001, OWASP API 보안 상위 10개, API 보안, API 보안, 보안

참고문헌

• 사용자 설명서