코더 컨커 시큐리티 OWASP 상위 10 API 시리즈 - 누락된 수준 기능 액세스 제어
이 블로그 시리즈에서는 API (응용 프로그래밍 인터페이스) 와 관련된 몇 가지 최악의 취약점에 맞출 것입니다.이러한 문제가 너무 심해서 오픈 웹 애플리케이션 보안 프로젝트를 만들었습니다 (올말벌) 주요 API 취약점 목록.API가 최신 컴퓨팅 인프라에 얼마나 중요한지 생각할 때, 이러한 문제는 어떤 대가를 치르고도 애플리케이션과 프로그램에 접근하지 못하도록 해야 할 때입니다.
더 기능 수준 액세스 제어 기능 취약성으로 인해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다.일반적으로 함수와 리소스는 코드 구성 단계에서 직접 보호하면서도 올바르게 수행하기가 쉬운 것은 아닙니다.최신 프로그램에는 다양한 유형의 환경 및 역할 그룹과 사용자 계층이 있습니다.
##먼저 게임화된 챌린지에 참여하여 이 까다로운 버그를 어떻게 헤쳐쳐보는지 보는 건 어떨까요?
좀 더 자세히 살펴보겠습니다.
API는 고도로 구조화되어 있기 때문에 이 결함에 특히 취약합니다.이해하는 공격자는 정보를 바탕으로 자신감을 바탕으로 한 명령을 제한해야 하는 방법을 추측할 수 있습니다.이것이 함수/리소스 수준의 액세스 가능성으로 인해 OWASP가 상위 10위권에 오른 이유 중 하나입니다.
공격자는 수준 수준 > 액세스 제어 > 취약점을 어떻게 악용할 수 있나요?
###############################################################################################################################################################################################S로 바꿀 수 있습니다.다시 말씀드리지만 API는 구조화되어 있기 때문에 어떤 명령을 허용할지 문자열의 어디에서든 쉽게 추측할 수 있습니다.
OWASP는 신규 웹 사용자가 가입할 수 있는 고정 시스템 시스템 취약성에 대한 정보입니다.아마도 다음과 같은 API GET 호출을 사용할 것입니다.
GET /api/invites/ {초대_가이드}
악의적인 사용자는 사용자의 역할과 초대에 대한 세부 정보가 포함된 JSON을 받게 됩니다.그러면 사용자는 API 다음 호출을 사용하여 GET을 POST로 변경하고 초대를 사용자에서 관리자로 승격할 수 있습니다.
POST /api/초대/새로 만들기
{"이메일”:” shadyguy@targetedsystem.com “, “역할”: “관리자”}
관리자만 게시글을 남길 수 있지만, 제대로 보호되지 않으면 API는 이를 받아들이는 것이 합법적인 방법입니다.이 악의적인 사람은 새 관리자로 시스템에 참여하도록 초대합니다.그 뒤에는 적법한 사람이 볼 수 있는 것을 보고 할 수 있는 모든 것을 할 수 있습니다.
기능 수준 액세스 제어 취약성 제거
공격자가 구조화된 API 내에서 보호되지 않는 이미지를 얻을 수 있습니다.
역할 기반 인증 방법을 사용하여 비즈니스 수준 기능을 보호해야 합니다.대부분의 프레임워크는 이를 위한 중앙 집중식 루틴을 제공합니다.선택한 프레임워크는 그렇지 않습니다.
##2 #6 #리소스 수준 #0 #0 #0 #을 부여하고 그 이상은 부여하지 않는 점을 염두에 둘 수 있습니다. API나 다른 것을 코딩할 때 항상 그렇듯이 최소 권한 연습을 할 수 있는 방법:하세.오늘의 환경을 보호합니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로부터 온 피해로부터 온 조직과 고객을 위한 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 보기 시큐어 코드 워리어 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
이 블로그 시리즈에서는 API (응용 프로그래밍 인터페이스) 와 관련된 몇 가지 최악의 취약점에 맞출 것입니다.이러한 문제가 너무 심해서 오픈 웹 애플리케이션 보안 프로젝트를 만들었습니다 (올말벌) 주요 API 취약점 목록.API가 최신 컴퓨팅 인프라에 얼마나 중요한지 생각할 때, 이러한 문제는 어떤 대가를 치르고도 애플리케이션과 프로그램에 접근하지 못하도록 해야 할 때입니다.
더 기능 수준 액세스 제어 기능 취약성으로 인해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다.일반적으로 함수와 리소스는 코드 구성 단계에서 직접 보호하면서도 올바르게 수행하기가 쉬운 것은 아닙니다.최신 프로그램에는 다양한 유형의 환경 및 역할 그룹과 사용자 계층이 있습니다.
##먼저 게임화된 챌린지에 참여하여 이 까다로운 버그를 어떻게 헤쳐쳐보는지 보는 건 어떨까요?
좀 더 자세히 살펴보겠습니다.
API는 고도로 구조화되어 있기 때문에 이 결함에 특히 취약합니다.이해하는 공격자는 정보를 바탕으로 자신감을 바탕으로 한 명령을 제한해야 하는 방법을 추측할 수 있습니다.이것이 함수/리소스 수준의 액세스 가능성으로 인해 OWASP가 상위 10위권에 오른 이유 중 하나입니다.
공격자는 수준 수준 > 액세스 제어 > 취약점을 어떻게 악용할 수 있나요?
###############################################################################################################################################################################################S로 바꿀 수 있습니다.다시 말씀드리지만 API는 구조화되어 있기 때문에 어떤 명령을 허용할지 문자열의 어디에서든 쉽게 추측할 수 있습니다.
OWASP는 신규 웹 사용자가 가입할 수 있는 고정 시스템 시스템 취약성에 대한 정보입니다.아마도 다음과 같은 API GET 호출을 사용할 것입니다.
GET /api/invites/ {초대_가이드}
악의적인 사용자는 사용자의 역할과 초대에 대한 세부 정보가 포함된 JSON을 받게 됩니다.그러면 사용자는 API 다음 호출을 사용하여 GET을 POST로 변경하고 초대를 사용자에서 관리자로 승격할 수 있습니다.
POST /api/초대/새로 만들기
{"이메일”:” shadyguy@targetedsystem.com “, “역할”: “관리자”}
관리자만 게시글을 남길 수 있지만, 제대로 보호되지 않으면 API는 이를 받아들이는 것이 합법적인 방법입니다.이 악의적인 사람은 새 관리자로 시스템에 참여하도록 초대합니다.그 뒤에는 적법한 사람이 볼 수 있는 것을 보고 할 수 있는 모든 것을 할 수 있습니다.
기능 수준 액세스 제어 취약성 제거
공격자가 구조화된 API 내에서 보호되지 않는 이미지를 얻을 수 있습니다.
역할 기반 인증 방법을 사용하여 비즈니스 수준 기능을 보호해야 합니다.대부분의 프레임워크는 이를 위한 중앙 집중식 루틴을 제공합니다.선택한 프레임워크는 그렇지 않습니다.
##2 #6 #리소스 수준 #0 #0 #0 #을 부여하고 그 이상은 부여하지 않는 점을 염두에 둘 수 있습니다. API나 다른 것을 코딩할 때 항상 그렇듯이 최소 권한 연습을 할 수 있는 방법:하세.오늘의 환경을 보호합니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로부터 온 피해로부터 온 조직과 고객을 위한 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 보기 시큐어 코드 워리어 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
이 블로그 시리즈에서는 API (응용 프로그래밍 인터페이스) 와 관련된 몇 가지 최악의 취약점에 맞출 것입니다.이러한 문제가 너무 심해서 오픈 웹 애플리케이션 보안 프로젝트를 만들었습니다 (올말벌) 주요 API 취약점 목록.API가 최신 컴퓨팅 인프라에 얼마나 중요한지 생각할 때, 이러한 문제는 어떤 대가를 치르고도 애플리케이션과 프로그램에 접근하지 못하도록 해야 할 때입니다.
더 기능 수준 액세스 제어 기능 취약성으로 인해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다.일반적으로 함수와 리소스는 코드 구성 단계에서 직접 보호하면서도 올바르게 수행하기가 쉬운 것은 아닙니다.최신 프로그램에는 다양한 유형의 환경 및 역할 그룹과 사용자 계층이 있습니다.
##먼저 게임화된 챌린지에 참여하여 이 까다로운 버그를 어떻게 헤쳐쳐보는지 보는 건 어떨까요?
좀 더 자세히 살펴보겠습니다.
API는 고도로 구조화되어 있기 때문에 이 결함에 특히 취약합니다.이해하는 공격자는 정보를 바탕으로 자신감을 바탕으로 한 명령을 제한해야 하는 방법을 추측할 수 있습니다.이것이 함수/리소스 수준의 액세스 가능성으로 인해 OWASP가 상위 10위권에 오른 이유 중 하나입니다.
공격자는 수준 수준 > 액세스 제어 > 취약점을 어떻게 악용할 수 있나요?
###############################################################################################################################################################################################S로 바꿀 수 있습니다.다시 말씀드리지만 API는 구조화되어 있기 때문에 어떤 명령을 허용할지 문자열의 어디에서든 쉽게 추측할 수 있습니다.
OWASP는 신규 웹 사용자가 가입할 수 있는 고정 시스템 시스템 취약성에 대한 정보입니다.아마도 다음과 같은 API GET 호출을 사용할 것입니다.
GET /api/invites/ {초대_가이드}
악의적인 사용자는 사용자의 역할과 초대에 대한 세부 정보가 포함된 JSON을 받게 됩니다.그러면 사용자는 API 다음 호출을 사용하여 GET을 POST로 변경하고 초대를 사용자에서 관리자로 승격할 수 있습니다.
POST /api/초대/새로 만들기
{"이메일”:” shadyguy@targetedsystem.com “, “역할”: “관리자”}
관리자만 게시글을 남길 수 있지만, 제대로 보호되지 않으면 API는 이를 받아들이는 것이 합법적인 방법입니다.이 악의적인 사람은 새 관리자로 시스템에 참여하도록 초대합니다.그 뒤에는 적법한 사람이 볼 수 있는 것을 보고 할 수 있는 모든 것을 할 수 있습니다.
기능 수준 액세스 제어 취약성 제거
공격자가 구조화된 API 내에서 보호되지 않는 이미지를 얻을 수 있습니다.
역할 기반 인증 방법을 사용하여 비즈니스 수준 기능을 보호해야 합니다.대부분의 프레임워크는 이를 위한 중앙 집중식 루틴을 제공합니다.선택한 프레임워크는 그렇지 않습니다.
##2 #6 #리소스 수준 #0 #0 #0 #을 부여하고 그 이상은 부여하지 않는 점을 염두에 둘 수 있습니다. API나 다른 것을 코딩할 때 항상 그렇듯이 최소 권한 연습을 할 수 있는 방법:하세.오늘의 환경을 보호합니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로부터 온 피해로부터 온 조직과 고객을 위한 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 보기 시큐어 코드 워리어 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
이 블로그 시리즈에서는 API (응용 프로그래밍 인터페이스) 와 관련된 몇 가지 최악의 취약점에 맞출 것입니다.이러한 문제가 너무 심해서 오픈 웹 애플리케이션 보안 프로젝트를 만들었습니다 (올말벌) 주요 API 취약점 목록.API가 최신 컴퓨팅 인프라에 얼마나 중요한지 생각할 때, 이러한 문제는 어떤 대가를 치르고도 애플리케이션과 프로그램에 접근하지 못하도록 해야 할 때입니다.
더 기능 수준 액세스 제어 기능 취약성으로 인해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다.일반적으로 함수와 리소스는 코드 구성 단계에서 직접 보호하면서도 올바르게 수행하기가 쉬운 것은 아닙니다.최신 프로그램에는 다양한 유형의 환경 및 역할 그룹과 사용자 계층이 있습니다.
##먼저 게임화된 챌린지에 참여하여 이 까다로운 버그를 어떻게 헤쳐쳐보는지 보는 건 어떨까요?
좀 더 자세히 살펴보겠습니다.
API는 고도로 구조화되어 있기 때문에 이 결함에 특히 취약합니다.이해하는 공격자는 정보를 바탕으로 자신감을 바탕으로 한 명령을 제한해야 하는 방법을 추측할 수 있습니다.이것이 함수/리소스 수준의 액세스 가능성으로 인해 OWASP가 상위 10위권에 오른 이유 중 하나입니다.
공격자는 수준 수준 > 액세스 제어 > 취약점을 어떻게 악용할 수 있나요?
###############################################################################################################################################################################################S로 바꿀 수 있습니다.다시 말씀드리지만 API는 구조화되어 있기 때문에 어떤 명령을 허용할지 문자열의 어디에서든 쉽게 추측할 수 있습니다.
OWASP는 신규 웹 사용자가 가입할 수 있는 고정 시스템 시스템 취약성에 대한 정보입니다.아마도 다음과 같은 API GET 호출을 사용할 것입니다.
GET /api/invites/ {초대_가이드}
악의적인 사용자는 사용자의 역할과 초대에 대한 세부 정보가 포함된 JSON을 받게 됩니다.그러면 사용자는 API 다음 호출을 사용하여 GET을 POST로 변경하고 초대를 사용자에서 관리자로 승격할 수 있습니다.
POST /api/초대/새로 만들기
{"이메일”:” shadyguy@targetedsystem.com “, “역할”: “관리자”}
관리자만 게시글을 남길 수 있지만, 제대로 보호되지 않으면 API는 이를 받아들이는 것이 합법적인 방법입니다.이 악의적인 사람은 새 관리자로 시스템에 참여하도록 초대합니다.그 뒤에는 적법한 사람이 볼 수 있는 것을 보고 할 수 있는 모든 것을 할 수 있습니다.
기능 수준 액세스 제어 취약성 제거
공격자가 구조화된 API 내에서 보호되지 않는 이미지를 얻을 수 있습니다.
역할 기반 인증 방법을 사용하여 비즈니스 수준 기능을 보호해야 합니다.대부분의 프레임워크는 이를 위한 중앙 집중식 루틴을 제공합니다.선택한 프레임워크는 그렇지 않습니다.
##2 #6 #리소스 수준 #0 #0 #0 #을 부여하고 그 이상은 부여하지 않는 점을 염두에 둘 수 있습니다. API나 다른 것을 코딩할 때 항상 그렇듯이 최소 권한 연습을 할 수 있는 방법:하세.오늘의 환경을 보호합니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로부터 온 피해로부터 온 조직과 고객을 위한 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 보기 시큐어 코드 워리어 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
