코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 누락 된 기능 수준 액세스 제어

게시일: 2020.10.07.
작성자: 마티아스 마두, Ph.
사례 연구

코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 누락 된 기능 수준 액세스 제어

게시일: 2020.10.07.
작성자: 마티아스 마두, Ph.
리소스 보기
리소스 보기

이 블로그 시리즈는 응용 프로그램 프로그래밍 인터페이스(API)와 관련된 최악의 취약점 중 일부에 초점을 맞출 것입니다. 이러한 상태는 너무 나빠서 개방형 웹 응용 프로그램 보안프로젝트(OWASP)상위 API 취약점 목록을 만들었습니다. 최신 컴퓨팅 인프라에 API가 얼마나 중요한지를 감안할 때, 이러한 문제는 응용 프로그램 및 프로그램을 모든 비용으로 유지해야 하는 중요한 문제입니다.

누락된 함수 수준 액세스 제어 취약점을 통해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다. 일반적으로 함수와 리소스는 코드 또는 구성 설정에 의해 직접 보호되지만 올바르게 수행하는 것이 항상 쉬운 것은 아닙니다. 최신 응용 프로그램에는 여러 유형의 역할과 그룹과 복잡한 사용자 계층 구조가 포함되기 때문에 적절한 검사를 구현하는 것이 어려울 수 있습니다.

하지만 먼저, 이 까다로운 종류의 버그를 탐색할 때 어디에서 있는지 확인하기 위해 게임화된 도전을 플레이해 보는 것은 어떨까요?

좀 더 심층적인 모습을 살펴보겠습니다.

API는 구조가 높기 때문에 특히 이 결함에 취약합니다. 코드를 이해하는 공격자는 코드를 제한해야 하는 명령을 구현하는 방법에 대해 교육된 추측을 할 수 있습니다. 이것이 기능/리소스 수준 액세스 제어 취약점으로 인해 OWASP 상위 10위권이 된 주된 이유 중 하나입니다.

공격자는 함수 수준 액세스 제어 취약점을 어떻게 악용할 수 있습니까?

함수 나 리소스가 제대로 보호되지 않는다고 의심되는 공격자는 먼저 공격하려는 시스템에 액세스해야 합니다. 이 취약점을 악용하려면 합법적인 API 호출을 끝점으로 보낼 수 있는 권한이 있어야 합니다. 아마도 낮은 수준의 게스트 액세스 기능 또는 응용 프로그램의 기능의 일부로 익명으로 가입 하는 몇 가지 방법이 있다. 해당 액세스 권한이 설정되면 합법적인 API 호출에서 명령을 변경할 수 있습니다. 예를 들어 PUT로 GET을 교환하거나 URL의 사용자 문자열을 관리자로 변경할 수 있습니다. API가 구조화되어 있기 때문에 허용되는 명령과 문자열에 배치할 위치를 쉽게 추측할 수 있습니다.

OWASP는 신규 사용자가 웹 사이트에 가입할 수 있도록 설정된 등록 프로세스의 이러한 취약점을 예로 들 수 있습니다. 다음과 같이 API GET 호출을 사용할 수 있습니다.

/api/초대/{invite_guid}

악의적인 사용자는 사용자의 역할과 이메일을 포함하여 초대에 대한 세부 정보가 포함된 JSON을 다시 가져옵니다. 그런 다음 GET을 POST로 변경하고 다음 API 호출을 사용하여 사용자에서 관리자로 초대를 올릴 수도 있습니다.

POST /api/invites/new
{"email":"shadyguy@targetedsystem.com","role":"admin"}

관리자만 POST 명령을 보낼 수 있어야 하지만 제대로 보호되지 않으면 API는 이를 합법적인 것으로 받아들이고 공격자가 원하는 대로 실행합니다. 이 경우 악의적인 사용자가 새 관리자로 시스템에 참여하도록 초대됩니다. 그 후, 그들은 합법적 인 관리자가 할 수있는 것을보고 할 수 있었고, 이는 좋지 않을 것입니다.

기능 수준 액세스 제어 취약점 제거

공격자가 구조화 된 API 내에서 보호되지 않은 함수를 찾는 것은 어렵지 않기 때문에 이 API 취약점을 방지하는 것이 특히 중요합니다. API에 대한 어느 수준의 액세스 권한을 얻을 수 있는 한 코드 구조를 매핑하고 결국 팔로우할 호출을 만들 수 있습니다.

따라서 역할 기반 권한 부여 방법을 사용하여 모든 비즈니스 수준 기능을 보호해야 합니다. 대부분의 프레임워크는 이를 실현하기 위해 중앙 집중식 루틴을 제공합니다. 선택한 프레임워크가 구현하기 어려운 경우 쉽게 사용할 수 있도록 특별히 빌드된 외부 모듈이 많이 있습니다. 궁극적으로 어떤 방법을 선택하든 서버에서 권한을 구현해야 합니다. 클라이언트 측에서 함수를 보호하려고 하지 마십시오.

함수 및 리소스 수준 권한을 만들기 위해 작업할 때는 사용자에게 필요한 작업과 더 이상 수행할 수 있는 권한만 부여해야 합니다. API 또는 기타 것을 코딩할 때항상 그렇듯이 권한 방법론을 가장 적게 연습하십시오. 그것은 당신의 환경을 보호하고 도로 아래로 사이버 보안 관련 문제를 많이 머리를 것입니다.

체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.

리소스 보기
리소스 보기

저자

마티아스 마두, Ph.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 누락 된 기능 수준 액세스 제어

게시일: 2020.10.07.
마티아스 마두, Ph.

이 블로그 시리즈는 응용 프로그램 프로그래밍 인터페이스(API)와 관련된 최악의 취약점 중 일부에 초점을 맞출 것입니다. 이러한 상태는 너무 나빠서 개방형 웹 응용 프로그램 보안프로젝트(OWASP)상위 API 취약점 목록을 만들었습니다. 최신 컴퓨팅 인프라에 API가 얼마나 중요한지를 감안할 때, 이러한 문제는 응용 프로그램 및 프로그램을 모든 비용으로 유지해야 하는 중요한 문제입니다.

누락된 함수 수준 액세스 제어 취약점을 통해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다. 일반적으로 함수와 리소스는 코드 또는 구성 설정에 의해 직접 보호되지만 올바르게 수행하는 것이 항상 쉬운 것은 아닙니다. 최신 응용 프로그램에는 여러 유형의 역할과 그룹과 복잡한 사용자 계층 구조가 포함되기 때문에 적절한 검사를 구현하는 것이 어려울 수 있습니다.

하지만 먼저, 이 까다로운 종류의 버그를 탐색할 때 어디에서 있는지 확인하기 위해 게임화된 도전을 플레이해 보는 것은 어떨까요?

좀 더 심층적인 모습을 살펴보겠습니다.

API는 구조가 높기 때문에 특히 이 결함에 취약합니다. 코드를 이해하는 공격자는 코드를 제한해야 하는 명령을 구현하는 방법에 대해 교육된 추측을 할 수 있습니다. 이것이 기능/리소스 수준 액세스 제어 취약점으로 인해 OWASP 상위 10위권이 된 주된 이유 중 하나입니다.

공격자는 함수 수준 액세스 제어 취약점을 어떻게 악용할 수 있습니까?

함수 나 리소스가 제대로 보호되지 않는다고 의심되는 공격자는 먼저 공격하려는 시스템에 액세스해야 합니다. 이 취약점을 악용하려면 합법적인 API 호출을 끝점으로 보낼 수 있는 권한이 있어야 합니다. 아마도 낮은 수준의 게스트 액세스 기능 또는 응용 프로그램의 기능의 일부로 익명으로 가입 하는 몇 가지 방법이 있다. 해당 액세스 권한이 설정되면 합법적인 API 호출에서 명령을 변경할 수 있습니다. 예를 들어 PUT로 GET을 교환하거나 URL의 사용자 문자열을 관리자로 변경할 수 있습니다. API가 구조화되어 있기 때문에 허용되는 명령과 문자열에 배치할 위치를 쉽게 추측할 수 있습니다.

OWASP는 신규 사용자가 웹 사이트에 가입할 수 있도록 설정된 등록 프로세스의 이러한 취약점을 예로 들 수 있습니다. 다음과 같이 API GET 호출을 사용할 수 있습니다.

/api/초대/{invite_guid}

악의적인 사용자는 사용자의 역할과 이메일을 포함하여 초대에 대한 세부 정보가 포함된 JSON을 다시 가져옵니다. 그런 다음 GET을 POST로 변경하고 다음 API 호출을 사용하여 사용자에서 관리자로 초대를 올릴 수도 있습니다.

POST /api/invites/new
{"email":"shadyguy@targetedsystem.com","role":"admin"}

관리자만 POST 명령을 보낼 수 있어야 하지만 제대로 보호되지 않으면 API는 이를 합법적인 것으로 받아들이고 공격자가 원하는 대로 실행합니다. 이 경우 악의적인 사용자가 새 관리자로 시스템에 참여하도록 초대됩니다. 그 후, 그들은 합법적 인 관리자가 할 수있는 것을보고 할 수 있었고, 이는 좋지 않을 것입니다.

기능 수준 액세스 제어 취약점 제거

공격자가 구조화 된 API 내에서 보호되지 않은 함수를 찾는 것은 어렵지 않기 때문에 이 API 취약점을 방지하는 것이 특히 중요합니다. API에 대한 어느 수준의 액세스 권한을 얻을 수 있는 한 코드 구조를 매핑하고 결국 팔로우할 호출을 만들 수 있습니다.

따라서 역할 기반 권한 부여 방법을 사용하여 모든 비즈니스 수준 기능을 보호해야 합니다. 대부분의 프레임워크는 이를 실현하기 위해 중앙 집중식 루틴을 제공합니다. 선택한 프레임워크가 구현하기 어려운 경우 쉽게 사용할 수 있도록 특별히 빌드된 외부 모듈이 많이 있습니다. 궁극적으로 어떤 방법을 선택하든 서버에서 권한을 구현해야 합니다. 클라이언트 측에서 함수를 보호하려고 하지 마십시오.

함수 및 리소스 수준 권한을 만들기 위해 작업할 때는 사용자에게 필요한 작업과 더 이상 수행할 수 있는 권한만 부여해야 합니다. API 또는 기타 것을 코딩할 때항상 그렇듯이 권한 방법론을 가장 적게 연습하십시오. 그것은 당신의 환경을 보호하고 도로 아래로 사이버 보안 관련 문제를 많이 머리를 것입니다.

체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.