블로그

새는 API는 바다로 회사 명성을 씻어 위협

피터 다뉴
게시일: 2021년 6월 24일

인생에서, 일반적으로, 의사 소통은 좋은 일이다. 이해에 와서 새로운 것을 배우거나 관계를 구축 할 수있는 더 빠른 방법은 없습니다. 소프트웨어 공간에서 API는 응용 프로그램이 서로 대화할 수 있도록 하는 의사 소통의 목적을 제공하므로 기능과 유용성을 향상시킵니다. 이러한 연결성은 종종 최종 사용자가 사랑하는 더 풍부한 경험을 만들어 주며, 점점 더 일상적인 삶에서 소프트웨어에서 기대하는 것이 점점 더 많습니다. 

그러나 실제 생활에서와 마찬가지로 너무 많이 이야기 할 때 큰 문제입니다. Experian은 최근 타사 파트너가 사용하는 API 중 하나가 잠재적으로 신용 점수를 유출 했을 때 이 것을 어려운 방법을 발견했습니다... 글쎄, 거의 모든 미국 시민.

문제는 신속하게 패치되었지만이 취약점이 실제로 트랙에서 중지되었는지 여부에 대한 질문은 남아 있습니다. 한 공급업체가 영향을 받은 경우 다른 공급업체도 마찬가지일 가능성이 있으며, 이 버그가 시스템 버그일가능성이 있어 안전하지 않은 API를 사용하는 모든 사람에게 영향을 미칩니다.

API 보안은 대부분의 보안 전문가의 마음에서 멀지 않은 문제이며, 우리가 싸울 수있는 지식을 갖추어야할 필요가 있습니다. 

모든 swashbuckling 괴짜 가난한 API 인증을 우회 할 수 있습니다

많은 데이터 유출, 위반 및 보안 사고의 특징은 이를 달성하기 위해 거의 지배자가 되지 않는 것입니다. SolarWinds에서 보았던 것처럼 복잡하고 교활하고 해로운 공격은 사이버 범죄 천재 팀이 수행해야하며 규칙이 아닌 예외입니다. 

API가 약한 인증으로 빌드되면 악용하기가 다소 쉽습니다. Experian의 API 버그를 발견한 보안 연구원 인 Bill Demirkapi는 인증없이 액세스 할 수 있다고 결정했습니다. 생년월일에 00/00/0000을 입력하면 이름 및 관련 우편 주소와 같은 공개적으로 이용 가능한 정보만 사용하여 개인의 신용 점수에 액세스할 수 있습니다. 이 보고서는 보고되지 않았지만 이러한 레코드를 스크랩하고 신용 관련 데이터 덤프(따라서 가치 있는 데이터 덤프)로 컨텍스트화될 가능성은 확실합니다.

사용 사례가 얼마나 작든 정리및 기능 인증 프로세스가 있어야 합니다. 제대로 보호되지 않고 여러 시스템에 대한 액세스를 열 수 있는 chatterbox API는 책임입니다.

깨진 인증은 OWASP 상위 10개 API 취약점 목록에서 2위를 차지합니다. 이 버그를 피할 수있는 방법에 대한 자세한 내용을 읽고, 당신이 당신의 두뇌를 공급 완료되면 우리의 플랫폼에서 기술을 테스트.

열악한 API 보안 제어는 문화적 변화가 필요한 광범위한 문제입니다.

Experian과 같은 조직에서만 손가락을 가리키는 것은 공평하지 않지만 이 특정 API 노출에 표시되는 뉘앙스 및 보안 제어 실사가 부족한 것은 IT 시스템과 끝점의 일부로 API를 탐색하는 많은 회사에 적합하지 않습니다. 

일반적으로 API 취약점을 찾아 서 고치는 것뿐만 아니라 보호해야 하는 공격 표면의 일부로 이를 이해하는 데 더 많은 작업이 있습니다. API에 대한 가시성과 API가 어떻게 구축되었는지는 큰 관심사이며 보안 모범 사례의 일부로 요구되어야 합니다. 가장 엄격한 보안 조치를 가진 조직조차도 회사 보안 제어 외부에서 게시되고 작동하는 API로 인해 취소할 수 있습니다. API가 어디에서 왔는지, 누가 궁극적으로 그것을 유지했는지 묻는 것이 그 어느 때보다 중요합니까 (타사 공급 업체입니까? 보안이 얼마나 엄격합니까?), 액세스하는 정보는 무엇입니까? 

사출 취약점은 모든 CISO에 대한 바나클 남아있다.

API 보안은 보안 프로그램에 포함할 수 있는 상당히 새로운 모듈처럼 보일 수 있지만 일반 오래된 웹 소프트웨어에서 보는 데 사용되는 몇 가지 (매우) 오래된 트릭에 의해 악용될 수 있습니다.

최근 Accellion에 대한 공격이 공개된 결과, 체인 SQL 주입 및 OS 명령 실행 공격을 통해 위협 행위자가 API를 조작하여 사회 보장 번호를 포함한 중요한 데이터를 추출할 수 있었습니다. 그들은 공격자가 상당한 역 설계를 통해 가능했을 것입니다 heist을 수행하기 위해 Accellion의 FTA 소프트웨어에 대한 광범위한 지식을 가지고 있다고 결정했다.

2020년 12월과 2021년 1월에 위반이 발생하면서 도둑이 피해를 입을 충분한 시간이 있었습니다. 2021년 2월 추가 발견으로 저장된 XSS 취약점이 발견되었으며, 법의학 분석은 사용자 입력을 부적절하게 소독한 API 엔드포인트 가 하나만 있으면 admin.pl 스크립트를 호출할 때 인수를 주입할 수 있었다는 것을 발견했습니다.

많은 권위있는 교육 기관을 포함하여 3,000 명 이상의 고객이이 위반이 광범위 할 수 있습니다. 불행한 상황은 이러한 악용이 일반적인 취약점을 활용하여 가능했으며, 그 중 상당수는 보안 인식 개발자가 코드 수준, 사전 프로덕션에서 해결할 수 있었습니다. 우리가 시간과 시간을 계속 볼 때, 그것은 단지 큰 문제를 만들기 위해 열려 있는 작은 창걸립니다. 그리고 인간이 주도하는 사이버 방어 문화는 매우 인간적인 문제를 해결하는 전략의 일부가 되어야 합니다.


자바 스프링 API, 코틀린 스프링 API, C # (.NET) 웹 API에서 지금 API 보안 기술을 테스트하고 싶습니다 그리고 더 많은? 에 대한 몇 가지 API 과제 시도 Learning Platform (드롭다운을 통해 모든 언어:프레임워크를 확인하십시오.

실제 코드로 API 보안 기술을 테스트한다는 배너
계속, 그것을 시도.


리소스 보기
리소스 보기

API 보안은 대부분의 보안 전문가의 마음에서 멀지 않은 문제이며, 우리가 싸울 수있는 지식을 갖추어야할 필요가 있습니다.

더 알고 싶으신가요?

최고 경영자, 회장 겸 공동 설립자

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약
공유하세요:
저자
피터 다뉴
게시일: 2021년 6월 24일

최고 경영자, 회장 겸 공동 설립자

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

공유하세요:

인생에서, 일반적으로, 의사 소통은 좋은 일이다. 이해에 와서 새로운 것을 배우거나 관계를 구축 할 수있는 더 빠른 방법은 없습니다. 소프트웨어 공간에서 API는 응용 프로그램이 서로 대화할 수 있도록 하는 의사 소통의 목적을 제공하므로 기능과 유용성을 향상시킵니다. 이러한 연결성은 종종 최종 사용자가 사랑하는 더 풍부한 경험을 만들어 주며, 점점 더 일상적인 삶에서 소프트웨어에서 기대하는 것이 점점 더 많습니다. 

그러나 실제 생활에서와 마찬가지로 너무 많이 이야기 할 때 큰 문제입니다. Experian은 최근 타사 파트너가 사용하는 API 중 하나가 잠재적으로 신용 점수를 유출 했을 때 이 것을 어려운 방법을 발견했습니다... 글쎄, 거의 모든 미국 시민.

문제는 신속하게 패치되었지만이 취약점이 실제로 트랙에서 중지되었는지 여부에 대한 질문은 남아 있습니다. 한 공급업체가 영향을 받은 경우 다른 공급업체도 마찬가지일 가능성이 있으며, 이 버그가 시스템 버그일가능성이 있어 안전하지 않은 API를 사용하는 모든 사람에게 영향을 미칩니다.

API 보안은 대부분의 보안 전문가의 마음에서 멀지 않은 문제이며, 우리가 싸울 수있는 지식을 갖추어야할 필요가 있습니다. 

모든 swashbuckling 괴짜 가난한 API 인증을 우회 할 수 있습니다

많은 데이터 유출, 위반 및 보안 사고의 특징은 이를 달성하기 위해 거의 지배자가 되지 않는 것입니다. SolarWinds에서 보았던 것처럼 복잡하고 교활하고 해로운 공격은 사이버 범죄 천재 팀이 수행해야하며 규칙이 아닌 예외입니다. 

API가 약한 인증으로 빌드되면 악용하기가 다소 쉽습니다. Experian의 API 버그를 발견한 보안 연구원 인 Bill Demirkapi는 인증없이 액세스 할 수 있다고 결정했습니다. 생년월일에 00/00/0000을 입력하면 이름 및 관련 우편 주소와 같은 공개적으로 이용 가능한 정보만 사용하여 개인의 신용 점수에 액세스할 수 있습니다. 이 보고서는 보고되지 않았지만 이러한 레코드를 스크랩하고 신용 관련 데이터 덤프(따라서 가치 있는 데이터 덤프)로 컨텍스트화될 가능성은 확실합니다.

사용 사례가 얼마나 작든 정리및 기능 인증 프로세스가 있어야 합니다. 제대로 보호되지 않고 여러 시스템에 대한 액세스를 열 수 있는 chatterbox API는 책임입니다.

깨진 인증은 OWASP 상위 10개 API 취약점 목록에서 2위를 차지합니다. 이 버그를 피할 수있는 방법에 대한 자세한 내용을 읽고, 당신이 당신의 두뇌를 공급 완료되면 우리의 플랫폼에서 기술을 테스트.

열악한 API 보안 제어는 문화적 변화가 필요한 광범위한 문제입니다.

Experian과 같은 조직에서만 손가락을 가리키는 것은 공평하지 않지만 이 특정 API 노출에 표시되는 뉘앙스 및 보안 제어 실사가 부족한 것은 IT 시스템과 끝점의 일부로 API를 탐색하는 많은 회사에 적합하지 않습니다. 

일반적으로 API 취약점을 찾아 서 고치는 것뿐만 아니라 보호해야 하는 공격 표면의 일부로 이를 이해하는 데 더 많은 작업이 있습니다. API에 대한 가시성과 API가 어떻게 구축되었는지는 큰 관심사이며 보안 모범 사례의 일부로 요구되어야 합니다. 가장 엄격한 보안 조치를 가진 조직조차도 회사 보안 제어 외부에서 게시되고 작동하는 API로 인해 취소할 수 있습니다. API가 어디에서 왔는지, 누가 궁극적으로 그것을 유지했는지 묻는 것이 그 어느 때보다 중요합니까 (타사 공급 업체입니까? 보안이 얼마나 엄격합니까?), 액세스하는 정보는 무엇입니까? 

사출 취약점은 모든 CISO에 대한 바나클 남아있다.

API 보안은 보안 프로그램에 포함할 수 있는 상당히 새로운 모듈처럼 보일 수 있지만 일반 오래된 웹 소프트웨어에서 보는 데 사용되는 몇 가지 (매우) 오래된 트릭에 의해 악용될 수 있습니다.

최근 Accellion에 대한 공격이 공개된 결과, 체인 SQL 주입 및 OS 명령 실행 공격을 통해 위협 행위자가 API를 조작하여 사회 보장 번호를 포함한 중요한 데이터를 추출할 수 있었습니다. 그들은 공격자가 상당한 역 설계를 통해 가능했을 것입니다 heist을 수행하기 위해 Accellion의 FTA 소프트웨어에 대한 광범위한 지식을 가지고 있다고 결정했다.

2020년 12월과 2021년 1월에 위반이 발생하면서 도둑이 피해를 입을 충분한 시간이 있었습니다. 2021년 2월 추가 발견으로 저장된 XSS 취약점이 발견되었으며, 법의학 분석은 사용자 입력을 부적절하게 소독한 API 엔드포인트 가 하나만 있으면 admin.pl 스크립트를 호출할 때 인수를 주입할 수 있었다는 것을 발견했습니다.

많은 권위있는 교육 기관을 포함하여 3,000 명 이상의 고객이이 위반이 광범위 할 수 있습니다. 불행한 상황은 이러한 악용이 일반적인 취약점을 활용하여 가능했으며, 그 중 상당수는 보안 인식 개발자가 코드 수준, 사전 프로덕션에서 해결할 수 있었습니다. 우리가 시간과 시간을 계속 볼 때, 그것은 단지 큰 문제를 만들기 위해 열려 있는 작은 창걸립니다. 그리고 인간이 주도하는 사이버 방어 문화는 매우 인간적인 문제를 해결하는 전략의 일부가 되어야 합니다.


자바 스프링 API, 코틀린 스프링 API, C # (.NET) 웹 API에서 지금 API 보안 기술을 테스트하고 싶습니다 그리고 더 많은? 에 대한 몇 가지 API 과제 시도 Learning Platform (드롭다운을 통해 모든 언어:프레임워크를 확인하십시오.

실제 코드로 API 보안 기술을 테스트한다는 배너
계속, 그것을 시도.


리소스 보기
리소스 보기

아래 양식을 작성하여 보고서를 다운로드하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.

인생에서, 일반적으로, 의사 소통은 좋은 일이다. 이해에 와서 새로운 것을 배우거나 관계를 구축 할 수있는 더 빠른 방법은 없습니다. 소프트웨어 공간에서 API는 응용 프로그램이 서로 대화할 수 있도록 하는 의사 소통의 목적을 제공하므로 기능과 유용성을 향상시킵니다. 이러한 연결성은 종종 최종 사용자가 사랑하는 더 풍부한 경험을 만들어 주며, 점점 더 일상적인 삶에서 소프트웨어에서 기대하는 것이 점점 더 많습니다. 

그러나 실제 생활에서와 마찬가지로 너무 많이 이야기 할 때 큰 문제입니다. Experian은 최근 타사 파트너가 사용하는 API 중 하나가 잠재적으로 신용 점수를 유출 했을 때 이 것을 어려운 방법을 발견했습니다... 글쎄, 거의 모든 미국 시민.

문제는 신속하게 패치되었지만이 취약점이 실제로 트랙에서 중지되었는지 여부에 대한 질문은 남아 있습니다. 한 공급업체가 영향을 받은 경우 다른 공급업체도 마찬가지일 가능성이 있으며, 이 버그가 시스템 버그일가능성이 있어 안전하지 않은 API를 사용하는 모든 사람에게 영향을 미칩니다.

API 보안은 대부분의 보안 전문가의 마음에서 멀지 않은 문제이며, 우리가 싸울 수있는 지식을 갖추어야할 필요가 있습니다. 

모든 swashbuckling 괴짜 가난한 API 인증을 우회 할 수 있습니다

많은 데이터 유출, 위반 및 보안 사고의 특징은 이를 달성하기 위해 거의 지배자가 되지 않는 것입니다. SolarWinds에서 보았던 것처럼 복잡하고 교활하고 해로운 공격은 사이버 범죄 천재 팀이 수행해야하며 규칙이 아닌 예외입니다. 

API가 약한 인증으로 빌드되면 악용하기가 다소 쉽습니다. Experian의 API 버그를 발견한 보안 연구원 인 Bill Demirkapi는 인증없이 액세스 할 수 있다고 결정했습니다. 생년월일에 00/00/0000을 입력하면 이름 및 관련 우편 주소와 같은 공개적으로 이용 가능한 정보만 사용하여 개인의 신용 점수에 액세스할 수 있습니다. 이 보고서는 보고되지 않았지만 이러한 레코드를 스크랩하고 신용 관련 데이터 덤프(따라서 가치 있는 데이터 덤프)로 컨텍스트화될 가능성은 확실합니다.

사용 사례가 얼마나 작든 정리및 기능 인증 프로세스가 있어야 합니다. 제대로 보호되지 않고 여러 시스템에 대한 액세스를 열 수 있는 chatterbox API는 책임입니다.

깨진 인증은 OWASP 상위 10개 API 취약점 목록에서 2위를 차지합니다. 이 버그를 피할 수있는 방법에 대한 자세한 내용을 읽고, 당신이 당신의 두뇌를 공급 완료되면 우리의 플랫폼에서 기술을 테스트.

열악한 API 보안 제어는 문화적 변화가 필요한 광범위한 문제입니다.

Experian과 같은 조직에서만 손가락을 가리키는 것은 공평하지 않지만 이 특정 API 노출에 표시되는 뉘앙스 및 보안 제어 실사가 부족한 것은 IT 시스템과 끝점의 일부로 API를 탐색하는 많은 회사에 적합하지 않습니다. 

일반적으로 API 취약점을 찾아 서 고치는 것뿐만 아니라 보호해야 하는 공격 표면의 일부로 이를 이해하는 데 더 많은 작업이 있습니다. API에 대한 가시성과 API가 어떻게 구축되었는지는 큰 관심사이며 보안 모범 사례의 일부로 요구되어야 합니다. 가장 엄격한 보안 조치를 가진 조직조차도 회사 보안 제어 외부에서 게시되고 작동하는 API로 인해 취소할 수 있습니다. API가 어디에서 왔는지, 누가 궁극적으로 그것을 유지했는지 묻는 것이 그 어느 때보다 중요합니까 (타사 공급 업체입니까? 보안이 얼마나 엄격합니까?), 액세스하는 정보는 무엇입니까? 

사출 취약점은 모든 CISO에 대한 바나클 남아있다.

API 보안은 보안 프로그램에 포함할 수 있는 상당히 새로운 모듈처럼 보일 수 있지만 일반 오래된 웹 소프트웨어에서 보는 데 사용되는 몇 가지 (매우) 오래된 트릭에 의해 악용될 수 있습니다.

최근 Accellion에 대한 공격이 공개된 결과, 체인 SQL 주입 및 OS 명령 실행 공격을 통해 위협 행위자가 API를 조작하여 사회 보장 번호를 포함한 중요한 데이터를 추출할 수 있었습니다. 그들은 공격자가 상당한 역 설계를 통해 가능했을 것입니다 heist을 수행하기 위해 Accellion의 FTA 소프트웨어에 대한 광범위한 지식을 가지고 있다고 결정했다.

2020년 12월과 2021년 1월에 위반이 발생하면서 도둑이 피해를 입을 충분한 시간이 있었습니다. 2021년 2월 추가 발견으로 저장된 XSS 취약점이 발견되었으며, 법의학 분석은 사용자 입력을 부적절하게 소독한 API 엔드포인트 가 하나만 있으면 admin.pl 스크립트를 호출할 때 인수를 주입할 수 있었다는 것을 발견했습니다.

많은 권위있는 교육 기관을 포함하여 3,000 명 이상의 고객이이 위반이 광범위 할 수 있습니다. 불행한 상황은 이러한 악용이 일반적인 취약점을 활용하여 가능했으며, 그 중 상당수는 보안 인식 개발자가 코드 수준, 사전 프로덕션에서 해결할 수 있었습니다. 우리가 시간과 시간을 계속 볼 때, 그것은 단지 큰 문제를 만들기 위해 열려 있는 작은 창걸립니다. 그리고 인간이 주도하는 사이버 방어 문화는 매우 인간적인 문제를 해결하는 전략의 일부가 되어야 합니다.


자바 스프링 API, 코틀린 스프링 API, C # (.NET) 웹 API에서 지금 API 보안 기술을 테스트하고 싶습니다 그리고 더 많은? 에 대한 몇 가지 API 과제 시도 Learning Platform (드롭다운을 통해 모든 언어:프레임워크를 확인하십시오.

실제 코드로 API 보안 기술을 테스트한다는 배너
계속, 그것을 시도.


시작

아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

보고서 보기데모 예약
리소스 보기
공유하세요:
더 알고 싶으신가요?

공유하세요:
저자
피터 다뉴
게시일: 2021년 6월 24일

최고 경영자, 회장 겸 공동 설립자

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

공유하세요:

인생에서, 일반적으로, 의사 소통은 좋은 일이다. 이해에 와서 새로운 것을 배우거나 관계를 구축 할 수있는 더 빠른 방법은 없습니다. 소프트웨어 공간에서 API는 응용 프로그램이 서로 대화할 수 있도록 하는 의사 소통의 목적을 제공하므로 기능과 유용성을 향상시킵니다. 이러한 연결성은 종종 최종 사용자가 사랑하는 더 풍부한 경험을 만들어 주며, 점점 더 일상적인 삶에서 소프트웨어에서 기대하는 것이 점점 더 많습니다. 

그러나 실제 생활에서와 마찬가지로 너무 많이 이야기 할 때 큰 문제입니다. Experian은 최근 타사 파트너가 사용하는 API 중 하나가 잠재적으로 신용 점수를 유출 했을 때 이 것을 어려운 방법을 발견했습니다... 글쎄, 거의 모든 미국 시민.

문제는 신속하게 패치되었지만이 취약점이 실제로 트랙에서 중지되었는지 여부에 대한 질문은 남아 있습니다. 한 공급업체가 영향을 받은 경우 다른 공급업체도 마찬가지일 가능성이 있으며, 이 버그가 시스템 버그일가능성이 있어 안전하지 않은 API를 사용하는 모든 사람에게 영향을 미칩니다.

API 보안은 대부분의 보안 전문가의 마음에서 멀지 않은 문제이며, 우리가 싸울 수있는 지식을 갖추어야할 필요가 있습니다. 

모든 swashbuckling 괴짜 가난한 API 인증을 우회 할 수 있습니다

많은 데이터 유출, 위반 및 보안 사고의 특징은 이를 달성하기 위해 거의 지배자가 되지 않는 것입니다. SolarWinds에서 보았던 것처럼 복잡하고 교활하고 해로운 공격은 사이버 범죄 천재 팀이 수행해야하며 규칙이 아닌 예외입니다. 

API가 약한 인증으로 빌드되면 악용하기가 다소 쉽습니다. Experian의 API 버그를 발견한 보안 연구원 인 Bill Demirkapi는 인증없이 액세스 할 수 있다고 결정했습니다. 생년월일에 00/00/0000을 입력하면 이름 및 관련 우편 주소와 같은 공개적으로 이용 가능한 정보만 사용하여 개인의 신용 점수에 액세스할 수 있습니다. 이 보고서는 보고되지 않았지만 이러한 레코드를 스크랩하고 신용 관련 데이터 덤프(따라서 가치 있는 데이터 덤프)로 컨텍스트화될 가능성은 확실합니다.

사용 사례가 얼마나 작든 정리및 기능 인증 프로세스가 있어야 합니다. 제대로 보호되지 않고 여러 시스템에 대한 액세스를 열 수 있는 chatterbox API는 책임입니다.

깨진 인증은 OWASP 상위 10개 API 취약점 목록에서 2위를 차지합니다. 이 버그를 피할 수있는 방법에 대한 자세한 내용을 읽고, 당신이 당신의 두뇌를 공급 완료되면 우리의 플랫폼에서 기술을 테스트.

열악한 API 보안 제어는 문화적 변화가 필요한 광범위한 문제입니다.

Experian과 같은 조직에서만 손가락을 가리키는 것은 공평하지 않지만 이 특정 API 노출에 표시되는 뉘앙스 및 보안 제어 실사가 부족한 것은 IT 시스템과 끝점의 일부로 API를 탐색하는 많은 회사에 적합하지 않습니다. 

일반적으로 API 취약점을 찾아 서 고치는 것뿐만 아니라 보호해야 하는 공격 표면의 일부로 이를 이해하는 데 더 많은 작업이 있습니다. API에 대한 가시성과 API가 어떻게 구축되었는지는 큰 관심사이며 보안 모범 사례의 일부로 요구되어야 합니다. 가장 엄격한 보안 조치를 가진 조직조차도 회사 보안 제어 외부에서 게시되고 작동하는 API로 인해 취소할 수 있습니다. API가 어디에서 왔는지, 누가 궁극적으로 그것을 유지했는지 묻는 것이 그 어느 때보다 중요합니까 (타사 공급 업체입니까? 보안이 얼마나 엄격합니까?), 액세스하는 정보는 무엇입니까? 

사출 취약점은 모든 CISO에 대한 바나클 남아있다.

API 보안은 보안 프로그램에 포함할 수 있는 상당히 새로운 모듈처럼 보일 수 있지만 일반 오래된 웹 소프트웨어에서 보는 데 사용되는 몇 가지 (매우) 오래된 트릭에 의해 악용될 수 있습니다.

최근 Accellion에 대한 공격이 공개된 결과, 체인 SQL 주입 및 OS 명령 실행 공격을 통해 위협 행위자가 API를 조작하여 사회 보장 번호를 포함한 중요한 데이터를 추출할 수 있었습니다. 그들은 공격자가 상당한 역 설계를 통해 가능했을 것입니다 heist을 수행하기 위해 Accellion의 FTA 소프트웨어에 대한 광범위한 지식을 가지고 있다고 결정했다.

2020년 12월과 2021년 1월에 위반이 발생하면서 도둑이 피해를 입을 충분한 시간이 있었습니다. 2021년 2월 추가 발견으로 저장된 XSS 취약점이 발견되었으며, 법의학 분석은 사용자 입력을 부적절하게 소독한 API 엔드포인트 가 하나만 있으면 admin.pl 스크립트를 호출할 때 인수를 주입할 수 있었다는 것을 발견했습니다.

많은 권위있는 교육 기관을 포함하여 3,000 명 이상의 고객이이 위반이 광범위 할 수 있습니다. 불행한 상황은 이러한 악용이 일반적인 취약점을 활용하여 가능했으며, 그 중 상당수는 보안 인식 개발자가 코드 수준, 사전 프로덕션에서 해결할 수 있었습니다. 우리가 시간과 시간을 계속 볼 때, 그것은 단지 큰 문제를 만들기 위해 열려 있는 작은 창걸립니다. 그리고 인간이 주도하는 사이버 방어 문화는 매우 인간적인 문제를 해결하는 전략의 일부가 되어야 합니다.


자바 스프링 API, 코틀린 스프링 API, C # (.NET) 웹 API에서 지금 API 보안 기술을 테스트하고 싶습니다 그리고 더 많은? 에 대한 몇 가지 API 과제 시도 Learning Platform (드롭다운을 통해 모든 언어:프레임워크를 확인하십시오.

실제 코드로 API 보안 기술을 테스트한다는 배너
계속, 그것을 시도.


목차

PDF 다운로드
리소스 보기
더 알고 싶으신가요?

최고 경영자, 회장 겸 공동 설립자

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약다운로드
공유하세요:
리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물