유출되는 API로 인해 회사 평판이 바다로 밀려날 위험이 있습니다
인생에서 일반적으로 의사 소통은 대단한 일입니다.이해하고, 새로운 것을 배우거나, 관계를 구축하는 데 이보다 더 빠른 방법은 없습니다.소프트웨어 분야에서 API는 애플리케이션이 서로 통신하여 기능과 사용성을 높일 수 있도록 하는 의사소통의 역할을 합니다.이러한 연결성은 최종 사용자가 좋아하는 풍부한 경험을 제공하며, 일상 생활에서 소프트웨어에서 기대하는 바가 점점 더 많아지고 있습니다.
하지만 실생활과 마찬가지로 말을 너무 많이 하면 큰 문제가 됩니다.Experian은 최근에 이 사실을 어렵게 알게 되었는데, 타사 파트너가 자사 API 중 하나를 사용하면서 잠재적으로 유출되었습니다 거의 모든 미국 시민들의 신용점수는
이 문제는 빠르게 패치되었지만 이 취약점이 실제로 차단되었는지에 대한 의문이 남아 있습니다.한 공급업체가 영향을 받았다면 다른 공급업체도 영향을 받았을 가능성이 높으며, 이 문제가 발생할 가능성도 있습니다. 시스템 버그안전하지 않은 API를 사용하는 모든 사람에게 영향을 미칩니다.
API 보안은 대부분의 보안 전문가들이 머릿속에 떠올리지 않는 문제이며, 이에 맞서 싸우기 위한 지식을 갖추어야 하는 문제이기도 합니다.
스워시버클 괴짜라면 누구나 잘못된 API 인증을 우회할 수 있습니다.
많은 데이터 유출, 침해 및 보안 사고의 특징 중 하나는 이를 달성하기 위해 지도자가 거의 필요하지 않다는 것입니다.SolarWinds에서 보았던 것처럼 복잡하고 교활하며 피해를 주는 공격에는 천재적인 사이버 범죄자들로 구성된 팀이 필요하며, 이는 규칙이 아니라 예외입니다.
API가 취약한 인증으로 구축되면 악용되기 쉽습니다.Experian의 API 버그를 발견한 보안 연구원인 빌 데미르카피는 별다른 인증 없이도 액세스할 수 있다고 판단했습니다.생년월일 필드에 00/00/0000을 입력하면 이름 및 관련 우편 주소와 같이 공개적으로 이용 가능한 정보만 사용하여 개인의 신용 점수를 확인할 수 있었습니다.아직 보고된 바는 없지만, 이러한 기록이 스크랩되어 신용 관련 데이터 덤프로 (따라서 가치가 있는) 문맥화될 가능성은 분명히 존재합니다.
사용 사례가 아무리 작더라도 깔끔하고 기능적인 인증 프로세스를 마련해야 합니다. 보안이 제대로 이루어지지 않아 여러 시스템에 대한 액세스를 허용할 수 있는 Chatterbox API는 문제가 될 수 있습니다.
깨진 인증은 두 번째로 중요한 요소입니다. OWASP 탑 10 API 취약점 목록. 여기에서 더 읽어보세요 이 버그를 피할 수 있는 방법에 대해 알아보고 두뇌에 영양을 공급한 후 당사 플랫폼에서 기술을 테스트해 보세요.
부실한 API 보안 통제는 문화적 변화를 요구하는 만연한 문제입니다.
Experian과 같은 조직만을 비난하는 것은 공평하지 않지만, 이러한 특정 API 노출에서 나타난 미묘한 차이와 보안 통제의 부재는 IT 시스템 및 엔드포인트의 일부로 API를 탐색하고 있는 많은 기업에게 좋은 징조가 아닙니다.
일반적으로 API 취약점을 찾아 해결하는 것뿐만 아니라 우리가 보호해야 할 공격 영역의 일부로서 이를 이해하는 데에도 많은 작업이 필요합니다.API와 그 구축 방식에 대한 가시성은 큰 관심사이며 보안 모범 사례의 일환으로 요구되어야 할 사항입니다.가장 엄격한 보안 조치를 취하고 있는 조직도 회사 보안 통제 범위를 벗어난 채 게시되고 작동하는 API에 의해 무력화될 수 있습니다.API의 출처가 어디인지, 누가 최종적으로 API를 유지 관리하는지 (타사 공급업체인지) 묻는 것이 그 어느 때보다 중요합니다.보안에 대해 얼마나 엄격한가요?그리고 어떤 정보를 액세스하고 있는지
인젝션 취약성은 모든 CISO의 골목으로 남아 있습니다.
API 보안은 보안 프로그램에 포함시키기에는 상당히 새로운 모듈처럼 보일 수 있지만, 우리가 평범한 구식 웹 소프트웨어에서 보던 (아주) 오래된 트릭에 의해 악용될 수 있습니다.
A 최근 공개된 액셀리온에 대한 공격 위협 행위자가 연쇄적인 SQL 인젝션 및 OS 명령 실행 공격을 통해 API를 조작하여 사회보장번호를 비롯한 중요한 데이터를 대량으로 추출할 수 있었다는 사실이 밝혀졌습니다.그들은 공격자들이 하이스트를 수행하려면 Accellion의 FTA 소프트웨어에 대한 광범위한 지식이 있어야 한다고 판단했는데, 이는 상당한 리버스 엔지니어링을 통해 가능했을 것입니다.
2020년 12월과 2021년 1월에 걸쳐 침해 사고가 발생했기 때문에 도둑들이 피해를 입힐 수 있는 시간은 충분했습니다.2021년 2월에 추가로 발견된 결과 저장된 XSS 취약점이 발견되었으며, 포렌식 분석을 통해 사용자 입력을 부적절하게 삭제한 API 엔드포인트 하나만으로도 호출 시 인수를 주입할 수 있는 것으로 나타났습니다. admin.pl 스크립트.
많은 유명 교육 기관을 포함하여 3,000명 이상의 고객을 보유한 이 보안 침해는 광범위할 수 있습니다.안타깝게도 이러한 악용은 일반적인 취약점을 활용하여 가능했는데, 이러한 취약점 중 상당수는 보안을 잘 아는 개발자가 코드 수준에서 사전 프로덕션 단계에서 해결할 수 있었을 것입니다.몇 번이고 반복해서 보게 되겠지만, 작은 창을 열어 놓아도 큰 문제가 발생할 수 있습니다.그리고 인간이 주도하는 사이버 방어 문화도 인간적인 문제를 해결하기 위한 전략의 일부가 되어야 합니다.
지금 API 보안 기술을 테스트하고 싶으신가요? 자바 스프링 API, 코틀린 스프링 API, C# (.NET) 웹 API 그리고 더 있나요?학습 플랫폼에서 API 챌린지를 시도해 보세요 (드롭다운을 통해 모든 언어:프레임워크를 확인하세요).
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
인생에서 일반적으로 의사 소통은 대단한 일입니다.이해하고, 새로운 것을 배우거나, 관계를 구축하는 데 이보다 더 빠른 방법은 없습니다.소프트웨어 분야에서 API는 애플리케이션이 서로 통신하여 기능과 사용성을 높일 수 있도록 하는 의사소통의 역할을 합니다.이러한 연결성은 최종 사용자가 좋아하는 풍부한 경험을 제공하며, 일상 생활에서 소프트웨어에서 기대하는 바가 점점 더 많아지고 있습니다.
하지만 실생활과 마찬가지로 말을 너무 많이 하면 큰 문제가 됩니다.Experian은 최근에 이 사실을 어렵게 알게 되었는데, 타사 파트너가 자사 API 중 하나를 사용하면서 잠재적으로 유출되었습니다 거의 모든 미국 시민들의 신용점수는
이 문제는 빠르게 패치되었지만 이 취약점이 실제로 차단되었는지에 대한 의문이 남아 있습니다.한 공급업체가 영향을 받았다면 다른 공급업체도 영향을 받았을 가능성이 높으며, 이 문제가 발생할 가능성도 있습니다. 시스템 버그안전하지 않은 API를 사용하는 모든 사람에게 영향을 미칩니다.
API 보안은 대부분의 보안 전문가들이 머릿속에 떠올리지 않는 문제이며, 이에 맞서 싸우기 위한 지식을 갖추어야 하는 문제이기도 합니다.
스워시버클 괴짜라면 누구나 잘못된 API 인증을 우회할 수 있습니다.
많은 데이터 유출, 침해 및 보안 사고의 특징 중 하나는 이를 달성하기 위해 지도자가 거의 필요하지 않다는 것입니다.SolarWinds에서 보았던 것처럼 복잡하고 교활하며 피해를 주는 공격에는 천재적인 사이버 범죄자들로 구성된 팀이 필요하며, 이는 규칙이 아니라 예외입니다.
API가 취약한 인증으로 구축되면 악용되기 쉽습니다.Experian의 API 버그를 발견한 보안 연구원인 빌 데미르카피는 별다른 인증 없이도 액세스할 수 있다고 판단했습니다.생년월일 필드에 00/00/0000을 입력하면 이름 및 관련 우편 주소와 같이 공개적으로 이용 가능한 정보만 사용하여 개인의 신용 점수를 확인할 수 있었습니다.아직 보고된 바는 없지만, 이러한 기록이 스크랩되어 신용 관련 데이터 덤프로 (따라서 가치가 있는) 문맥화될 가능성은 분명히 존재합니다.
사용 사례가 아무리 작더라도 깔끔하고 기능적인 인증 프로세스를 마련해야 합니다. 보안이 제대로 이루어지지 않아 여러 시스템에 대한 액세스를 허용할 수 있는 Chatterbox API는 문제가 될 수 있습니다.
깨진 인증은 두 번째로 중요한 요소입니다. OWASP 탑 10 API 취약점 목록. 여기에서 더 읽어보세요 이 버그를 피할 수 있는 방법에 대해 알아보고 두뇌에 영양을 공급한 후 당사 플랫폼에서 기술을 테스트해 보세요.
부실한 API 보안 통제는 문화적 변화를 요구하는 만연한 문제입니다.
Experian과 같은 조직만을 비난하는 것은 공평하지 않지만, 이러한 특정 API 노출에서 나타난 미묘한 차이와 보안 통제의 부재는 IT 시스템 및 엔드포인트의 일부로 API를 탐색하고 있는 많은 기업에게 좋은 징조가 아닙니다.
일반적으로 API 취약점을 찾아 해결하는 것뿐만 아니라 우리가 보호해야 할 공격 영역의 일부로서 이를 이해하는 데에도 많은 작업이 필요합니다.API와 그 구축 방식에 대한 가시성은 큰 관심사이며 보안 모범 사례의 일환으로 요구되어야 할 사항입니다.가장 엄격한 보안 조치를 취하고 있는 조직도 회사 보안 통제 범위를 벗어난 채 게시되고 작동하는 API에 의해 무력화될 수 있습니다.API의 출처가 어디인지, 누가 최종적으로 API를 유지 관리하는지 (타사 공급업체인지) 묻는 것이 그 어느 때보다 중요합니다.보안에 대해 얼마나 엄격한가요?그리고 어떤 정보를 액세스하고 있는지
인젝션 취약성은 모든 CISO의 골목으로 남아 있습니다.
API 보안은 보안 프로그램에 포함시키기에는 상당히 새로운 모듈처럼 보일 수 있지만, 우리가 평범한 구식 웹 소프트웨어에서 보던 (아주) 오래된 트릭에 의해 악용될 수 있습니다.
A 최근 공개된 액셀리온에 대한 공격 위협 행위자가 연쇄적인 SQL 인젝션 및 OS 명령 실행 공격을 통해 API를 조작하여 사회보장번호를 비롯한 중요한 데이터를 대량으로 추출할 수 있었다는 사실이 밝혀졌습니다.그들은 공격자들이 하이스트를 수행하려면 Accellion의 FTA 소프트웨어에 대한 광범위한 지식이 있어야 한다고 판단했는데, 이는 상당한 리버스 엔지니어링을 통해 가능했을 것입니다.
2020년 12월과 2021년 1월에 걸쳐 침해 사고가 발생했기 때문에 도둑들이 피해를 입힐 수 있는 시간은 충분했습니다.2021년 2월에 추가로 발견된 결과 저장된 XSS 취약점이 발견되었으며, 포렌식 분석을 통해 사용자 입력을 부적절하게 삭제한 API 엔드포인트 하나만으로도 호출 시 인수를 주입할 수 있는 것으로 나타났습니다. admin.pl 스크립트.
많은 유명 교육 기관을 포함하여 3,000명 이상의 고객을 보유한 이 보안 침해는 광범위할 수 있습니다.안타깝게도 이러한 악용은 일반적인 취약점을 활용하여 가능했는데, 이러한 취약점 중 상당수는 보안을 잘 아는 개발자가 코드 수준에서 사전 프로덕션 단계에서 해결할 수 있었을 것입니다.몇 번이고 반복해서 보게 되겠지만, 작은 창을 열어 놓아도 큰 문제가 발생할 수 있습니다.그리고 인간이 주도하는 사이버 방어 문화도 인간적인 문제를 해결하기 위한 전략의 일부가 되어야 합니다.
지금 API 보안 기술을 테스트하고 싶으신가요? 자바 스프링 API, 코틀린 스프링 API, C# (.NET) 웹 API 그리고 더 있나요?학습 플랫폼에서 API 챌린지를 시도해 보세요 (드롭다운을 통해 모든 언어:프레임워크를 확인하세요).
인생에서 일반적으로 의사 소통은 대단한 일입니다.이해하고, 새로운 것을 배우거나, 관계를 구축하는 데 이보다 더 빠른 방법은 없습니다.소프트웨어 분야에서 API는 애플리케이션이 서로 통신하여 기능과 사용성을 높일 수 있도록 하는 의사소통의 역할을 합니다.이러한 연결성은 최종 사용자가 좋아하는 풍부한 경험을 제공하며, 일상 생활에서 소프트웨어에서 기대하는 바가 점점 더 많아지고 있습니다.
하지만 실생활과 마찬가지로 말을 너무 많이 하면 큰 문제가 됩니다.Experian은 최근에 이 사실을 어렵게 알게 되었는데, 타사 파트너가 자사 API 중 하나를 사용하면서 잠재적으로 유출되었습니다 거의 모든 미국 시민들의 신용점수는
이 문제는 빠르게 패치되었지만 이 취약점이 실제로 차단되었는지에 대한 의문이 남아 있습니다.한 공급업체가 영향을 받았다면 다른 공급업체도 영향을 받았을 가능성이 높으며, 이 문제가 발생할 가능성도 있습니다. 시스템 버그안전하지 않은 API를 사용하는 모든 사람에게 영향을 미칩니다.
API 보안은 대부분의 보안 전문가들이 머릿속에 떠올리지 않는 문제이며, 이에 맞서 싸우기 위한 지식을 갖추어야 하는 문제이기도 합니다.
스워시버클 괴짜라면 누구나 잘못된 API 인증을 우회할 수 있습니다.
많은 데이터 유출, 침해 및 보안 사고의 특징 중 하나는 이를 달성하기 위해 지도자가 거의 필요하지 않다는 것입니다.SolarWinds에서 보았던 것처럼 복잡하고 교활하며 피해를 주는 공격에는 천재적인 사이버 범죄자들로 구성된 팀이 필요하며, 이는 규칙이 아니라 예외입니다.
API가 취약한 인증으로 구축되면 악용되기 쉽습니다.Experian의 API 버그를 발견한 보안 연구원인 빌 데미르카피는 별다른 인증 없이도 액세스할 수 있다고 판단했습니다.생년월일 필드에 00/00/0000을 입력하면 이름 및 관련 우편 주소와 같이 공개적으로 이용 가능한 정보만 사용하여 개인의 신용 점수를 확인할 수 있었습니다.아직 보고된 바는 없지만, 이러한 기록이 스크랩되어 신용 관련 데이터 덤프로 (따라서 가치가 있는) 문맥화될 가능성은 분명히 존재합니다.
사용 사례가 아무리 작더라도 깔끔하고 기능적인 인증 프로세스를 마련해야 합니다. 보안이 제대로 이루어지지 않아 여러 시스템에 대한 액세스를 허용할 수 있는 Chatterbox API는 문제가 될 수 있습니다.
깨진 인증은 두 번째로 중요한 요소입니다. OWASP 탑 10 API 취약점 목록. 여기에서 더 읽어보세요 이 버그를 피할 수 있는 방법에 대해 알아보고 두뇌에 영양을 공급한 후 당사 플랫폼에서 기술을 테스트해 보세요.
부실한 API 보안 통제는 문화적 변화를 요구하는 만연한 문제입니다.
Experian과 같은 조직만을 비난하는 것은 공평하지 않지만, 이러한 특정 API 노출에서 나타난 미묘한 차이와 보안 통제의 부재는 IT 시스템 및 엔드포인트의 일부로 API를 탐색하고 있는 많은 기업에게 좋은 징조가 아닙니다.
일반적으로 API 취약점을 찾아 해결하는 것뿐만 아니라 우리가 보호해야 할 공격 영역의 일부로서 이를 이해하는 데에도 많은 작업이 필요합니다.API와 그 구축 방식에 대한 가시성은 큰 관심사이며 보안 모범 사례의 일환으로 요구되어야 할 사항입니다.가장 엄격한 보안 조치를 취하고 있는 조직도 회사 보안 통제 범위를 벗어난 채 게시되고 작동하는 API에 의해 무력화될 수 있습니다.API의 출처가 어디인지, 누가 최종적으로 API를 유지 관리하는지 (타사 공급업체인지) 묻는 것이 그 어느 때보다 중요합니다.보안에 대해 얼마나 엄격한가요?그리고 어떤 정보를 액세스하고 있는지
인젝션 취약성은 모든 CISO의 골목으로 남아 있습니다.
API 보안은 보안 프로그램에 포함시키기에는 상당히 새로운 모듈처럼 보일 수 있지만, 우리가 평범한 구식 웹 소프트웨어에서 보던 (아주) 오래된 트릭에 의해 악용될 수 있습니다.
A 최근 공개된 액셀리온에 대한 공격 위협 행위자가 연쇄적인 SQL 인젝션 및 OS 명령 실행 공격을 통해 API를 조작하여 사회보장번호를 비롯한 중요한 데이터를 대량으로 추출할 수 있었다는 사실이 밝혀졌습니다.그들은 공격자들이 하이스트를 수행하려면 Accellion의 FTA 소프트웨어에 대한 광범위한 지식이 있어야 한다고 판단했는데, 이는 상당한 리버스 엔지니어링을 통해 가능했을 것입니다.
2020년 12월과 2021년 1월에 걸쳐 침해 사고가 발생했기 때문에 도둑들이 피해를 입힐 수 있는 시간은 충분했습니다.2021년 2월에 추가로 발견된 결과 저장된 XSS 취약점이 발견되었으며, 포렌식 분석을 통해 사용자 입력을 부적절하게 삭제한 API 엔드포인트 하나만으로도 호출 시 인수를 주입할 수 있는 것으로 나타났습니다. admin.pl 스크립트.
많은 유명 교육 기관을 포함하여 3,000명 이상의 고객을 보유한 이 보안 침해는 광범위할 수 있습니다.안타깝게도 이러한 악용은 일반적인 취약점을 활용하여 가능했는데, 이러한 취약점 중 상당수는 보안을 잘 아는 개발자가 코드 수준에서 사전 프로덕션 단계에서 해결할 수 있었을 것입니다.몇 번이고 반복해서 보게 되겠지만, 작은 창을 열어 놓아도 큰 문제가 발생할 수 있습니다.그리고 인간이 주도하는 사이버 방어 문화도 인간적인 문제를 해결하기 위한 전략의 일부가 되어야 합니다.
지금 API 보안 기술을 테스트하고 싶으신가요? 자바 스프링 API, 코틀린 스프링 API, C# (.NET) 웹 API 그리고 더 있나요?학습 플랫폼에서 API 챌린지를 시도해 보세요 (드롭다운을 통해 모든 언어:프레임워크를 확인하세요).
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
인생에서 일반적으로 의사 소통은 대단한 일입니다.이해하고, 새로운 것을 배우거나, 관계를 구축하는 데 이보다 더 빠른 방법은 없습니다.소프트웨어 분야에서 API는 애플리케이션이 서로 통신하여 기능과 사용성을 높일 수 있도록 하는 의사소통의 역할을 합니다.이러한 연결성은 최종 사용자가 좋아하는 풍부한 경험을 제공하며, 일상 생활에서 소프트웨어에서 기대하는 바가 점점 더 많아지고 있습니다.
하지만 실생활과 마찬가지로 말을 너무 많이 하면 큰 문제가 됩니다.Experian은 최근에 이 사실을 어렵게 알게 되었는데, 타사 파트너가 자사 API 중 하나를 사용하면서 잠재적으로 유출되었습니다 거의 모든 미국 시민들의 신용점수는
이 문제는 빠르게 패치되었지만 이 취약점이 실제로 차단되었는지에 대한 의문이 남아 있습니다.한 공급업체가 영향을 받았다면 다른 공급업체도 영향을 받았을 가능성이 높으며, 이 문제가 발생할 가능성도 있습니다. 시스템 버그안전하지 않은 API를 사용하는 모든 사람에게 영향을 미칩니다.
API 보안은 대부분의 보안 전문가들이 머릿속에 떠올리지 않는 문제이며, 이에 맞서 싸우기 위한 지식을 갖추어야 하는 문제이기도 합니다.
스워시버클 괴짜라면 누구나 잘못된 API 인증을 우회할 수 있습니다.
많은 데이터 유출, 침해 및 보안 사고의 특징 중 하나는 이를 달성하기 위해 지도자가 거의 필요하지 않다는 것입니다.SolarWinds에서 보았던 것처럼 복잡하고 교활하며 피해를 주는 공격에는 천재적인 사이버 범죄자들로 구성된 팀이 필요하며, 이는 규칙이 아니라 예외입니다.
API가 취약한 인증으로 구축되면 악용되기 쉽습니다.Experian의 API 버그를 발견한 보안 연구원인 빌 데미르카피는 별다른 인증 없이도 액세스할 수 있다고 판단했습니다.생년월일 필드에 00/00/0000을 입력하면 이름 및 관련 우편 주소와 같이 공개적으로 이용 가능한 정보만 사용하여 개인의 신용 점수를 확인할 수 있었습니다.아직 보고된 바는 없지만, 이러한 기록이 스크랩되어 신용 관련 데이터 덤프로 (따라서 가치가 있는) 문맥화될 가능성은 분명히 존재합니다.
사용 사례가 아무리 작더라도 깔끔하고 기능적인 인증 프로세스를 마련해야 합니다. 보안이 제대로 이루어지지 않아 여러 시스템에 대한 액세스를 허용할 수 있는 Chatterbox API는 문제가 될 수 있습니다.
깨진 인증은 두 번째로 중요한 요소입니다. OWASP 탑 10 API 취약점 목록. 여기에서 더 읽어보세요 이 버그를 피할 수 있는 방법에 대해 알아보고 두뇌에 영양을 공급한 후 당사 플랫폼에서 기술을 테스트해 보세요.
부실한 API 보안 통제는 문화적 변화를 요구하는 만연한 문제입니다.
Experian과 같은 조직만을 비난하는 것은 공평하지 않지만, 이러한 특정 API 노출에서 나타난 미묘한 차이와 보안 통제의 부재는 IT 시스템 및 엔드포인트의 일부로 API를 탐색하고 있는 많은 기업에게 좋은 징조가 아닙니다.
일반적으로 API 취약점을 찾아 해결하는 것뿐만 아니라 우리가 보호해야 할 공격 영역의 일부로서 이를 이해하는 데에도 많은 작업이 필요합니다.API와 그 구축 방식에 대한 가시성은 큰 관심사이며 보안 모범 사례의 일환으로 요구되어야 할 사항입니다.가장 엄격한 보안 조치를 취하고 있는 조직도 회사 보안 통제 범위를 벗어난 채 게시되고 작동하는 API에 의해 무력화될 수 있습니다.API의 출처가 어디인지, 누가 최종적으로 API를 유지 관리하는지 (타사 공급업체인지) 묻는 것이 그 어느 때보다 중요합니다.보안에 대해 얼마나 엄격한가요?그리고 어떤 정보를 액세스하고 있는지
인젝션 취약성은 모든 CISO의 골목으로 남아 있습니다.
API 보안은 보안 프로그램에 포함시키기에는 상당히 새로운 모듈처럼 보일 수 있지만, 우리가 평범한 구식 웹 소프트웨어에서 보던 (아주) 오래된 트릭에 의해 악용될 수 있습니다.
A 최근 공개된 액셀리온에 대한 공격 위협 행위자가 연쇄적인 SQL 인젝션 및 OS 명령 실행 공격을 통해 API를 조작하여 사회보장번호를 비롯한 중요한 데이터를 대량으로 추출할 수 있었다는 사실이 밝혀졌습니다.그들은 공격자들이 하이스트를 수행하려면 Accellion의 FTA 소프트웨어에 대한 광범위한 지식이 있어야 한다고 판단했는데, 이는 상당한 리버스 엔지니어링을 통해 가능했을 것입니다.
2020년 12월과 2021년 1월에 걸쳐 침해 사고가 발생했기 때문에 도둑들이 피해를 입힐 수 있는 시간은 충분했습니다.2021년 2월에 추가로 발견된 결과 저장된 XSS 취약점이 발견되었으며, 포렌식 분석을 통해 사용자 입력을 부적절하게 삭제한 API 엔드포인트 하나만으로도 호출 시 인수를 주입할 수 있는 것으로 나타났습니다. admin.pl 스크립트.
많은 유명 교육 기관을 포함하여 3,000명 이상의 고객을 보유한 이 보안 침해는 광범위할 수 있습니다.안타깝게도 이러한 악용은 일반적인 취약점을 활용하여 가능했는데, 이러한 취약점 중 상당수는 보안을 잘 아는 개발자가 코드 수준에서 사전 프로덕션 단계에서 해결할 수 있었을 것입니다.몇 번이고 반복해서 보게 되겠지만, 작은 창을 열어 놓아도 큰 문제가 발생할 수 있습니다.그리고 인간이 주도하는 사이버 방어 문화도 인간적인 문제를 해결하기 위한 전략의 일부가 되어야 합니다.
지금 API 보안 기술을 테스트하고 싶으신가요? 자바 스프링 API, 코틀린 스프링 API, C# (.NET) 웹 API 그리고 더 있나요?학습 플랫폼에서 API 챌린지를 시도해 보세요 (드롭다운을 통해 모든 언어:프레임워크를 확인하세요).
%20(1).avif)
.avif)
