Coders Conquer Security OWASP Top 10 API-Serie — Sicherheitsfunktionen deaktiviert/Debug-Funktionen aktiviert/Unzulässige Berechtigungen
이 목록의 대부분의 취약점은 API와 매우 관련이 있지만 비활성화된 보안 기능/디버그 기능 사용/부적절한 권한 문제는 어디서나 공격할 수 있는 문제입니다. API에서 좀 더 널리 퍼질 가능성이 있지만 공격자는 종종 패치되지 않은 결함과 보호되지 않은 파일 또는 네트워크 의 어느 곳에서나 디렉토리를 찾으려고 시도합니다. 디버깅을 사용하도록 설정하거나 보안 기능을 사용하지 않도록 설정한 API를 통해 오면 악의적인 작업이 좀 더 쉬워집니다. 더 나쁜 것은 자동화된 도구가 보안 오구성을 감지하고 악용할 수 있으므로 환경에 있는 경우 악용될 가능성이 있으므로 이 취약점으로 인해 위험한 API 결함의 OWASP 목록이 발생하게 됩니다.
우리가 재미에 들어가기 전에,이 디버그 문제를 해결할 수 있는지 확인 :
비활성화된 보안 기능/디버그 기능을 활성화/부적절한 사용 권한 결함은 API에 어떻게 몰래 넣을 수 있습니까?
이 다차원 API 결함이 네트워크에 어떻게 추가되는지 확인하려면 해당 다차원 API 결함이 해당 구성 요소 부분으로 분해해야 합니다. 활성화된 디버그 기능 문제부터 시작해 보겠습니다. 디버깅은 개발자가 응용 프로그램이 제대로 수행되지 않거나 오류를 만들지 않는 이유를 파악하는 데 도움이 되는 유용한 도구입니다. 디버깅을 사용하도록 설정하면 오류 와 예외가 자세한 오류 페이지를 생성하므로 개발자가 무엇이 잘못되었는지 확인하고 문제를 해결할 수 있습니다. 응용 프로그램이 아직 개발 중인 동안 이 활성을 갖는 것은 완벽합니다.
그러나 대부분의 프레임워크에 디버깅이 활성화된 코드에서 프로덕션 환경에서 디버그 모드를 실행하는 것에 대한 경고가 있는 이유가 있습니다. 예를 들어:
# 보안 경고 : 디버그가 생산에서 켜져 실행되지 마십시오!
디버그 = True
이 예제에서는 디버깅이 활성화되었습니다. 예외가 발생하면 장고 응용 프로그램은 자세한 오류 페이지를 생성합니다. 프로덕션 환경에서 이 작업을 수행하는 경우 적대범은 환경에 대한 메타데이터 정보를 포함하는 이러한 오류 페이지에 액세스할 수 있습니다. 대부분의 프레임워크는 기본적으로 디버깅을 해제했지만 긴 개발 프로세스 중에 활성화되면 다시 전환하는 것을 잊어버리기 쉽습니다. 그런 다음 응용 프로그램이 프로덕션 환경으로 이동하면 공격자에게 응용 프로그램 또는 전체 서버 또는 네트워크를 손상시키는 방법에 대한 많은 정보를 제공합니다.
디버그 모드를 사용하도록 설정하는 것은 대부분 독립 실행형 문제이지만 부적절한 사용 권한과 비활성화된 보안 기능은 취약점이 함께 작동하는 경우가 많습니다. 예를 들어 OWASP에서 제공하는 실제 시나리오에서 공격자는 검색 엔진을 사용하여 실수로 인터넷에 연결된 데이터베이스를 찾습니다. 인기 있는 데이터베이스 관리 시스템이 기본 구성을 사용하고 있었기 때문에 인증이 비활성화되었습니다. 따라서 부적절한 권한과 비활성화된 보안 기능을 결합하여 취약점을 제공함으로써 공격자는 PII, 개인 기본 설정 및 인증 데이터와 수백만 개의 레코드에 액세스할 수 있게 되었습니다.
비활성화된 보안 기능/디버그 기능 사용/부적절한 권한 취약점 제거
이 취약점을 제거하는 두 갈래의 접근 방식을 만들어야 할 것입니다. 문제의 사용 가능한 디버그 부분을 제거하려면 개발 프로세스에 검사를 추가하여 API 또는 응용 프로그램을 프로덕션 환경으로 이동하기 전에 디버깅을 사용하지 않도록 하기만 하면 됩니다. 우리의 예에서, 그렇게 할 수있는 적절한 명령은 다음과 같습니다 .
# 보안 경고 : 디버그가 생산에서 켜져 실행되지 마십시오!
디버그 = 거짓
이제 장고 응용 프로그램의 디버그 피쳐는 FALSE로 구성된 DEBUG 플래그로 비활성화됩니다. 오류에 대한 응답으로 오류 페이지가 생성되지 않습니다. 적대국이 여전히 오류 페이지에 액세스할 수 있는 경우 유용한 메타데이터가 포함되지 않으며 응용 프로그램에 위험을 초래하지 않습니다.
다양한 특정 취약점을 포괄할 수 있으므로 비활성화된 보안 기능 및 부적절한 권한 취약점제거가 훨씬 더 어렵습니다. 이를 막는 가장 좋은 방법은 표준적이고 반복 가능한 프로세스를 개발하여 잠긴 자산을 프로덕션 환경에 빠르고 쉽게 배포할 수 있도록 하는 것입니다.
그럼에도 불구하고 오케스트레이션 파일, API 구성 요소 및 Amazon S3 버킷 사용 권한과 같은 클라우드 서비스가 지속적으로 검토되고 업데이트되는 프로세스를 만들어야 합니다. 또한 이 검토는 조직이 항상 API 보안을 개선하고 있는지 확인하기 위해 시간이 지남에 따라 전체 환경의 보안 설정의 전반적인 효율성을 평가해야 합니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
Es ist wahrscheinlich etwas häufiger in APIs, aber Angreifer versuchen oft, ungepatchte Fehler und ungeschützte Dateien oder Verzeichnisse überall in einem Netzwerk zu finden. Wenn sie auf eine API stoßen, bei der Debugging aktiviert oder Sicherheitsfunktionen deaktiviert sind, wird ihre schändliche Arbeit nur ein wenig einfacher.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
이 목록의 대부분의 취약점은 API와 매우 관련이 있지만 비활성화된 보안 기능/디버그 기능 사용/부적절한 권한 문제는 어디서나 공격할 수 있는 문제입니다. API에서 좀 더 널리 퍼질 가능성이 있지만 공격자는 종종 패치되지 않은 결함과 보호되지 않은 파일 또는 네트워크 의 어느 곳에서나 디렉토리를 찾으려고 시도합니다. 디버깅을 사용하도록 설정하거나 보안 기능을 사용하지 않도록 설정한 API를 통해 오면 악의적인 작업이 좀 더 쉬워집니다. 더 나쁜 것은 자동화된 도구가 보안 오구성을 감지하고 악용할 수 있으므로 환경에 있는 경우 악용될 가능성이 있으므로 이 취약점으로 인해 위험한 API 결함의 OWASP 목록이 발생하게 됩니다.
우리가 재미에 들어가기 전에,이 디버그 문제를 해결할 수 있는지 확인 :
비활성화된 보안 기능/디버그 기능을 활성화/부적절한 사용 권한 결함은 API에 어떻게 몰래 넣을 수 있습니까?
이 다차원 API 결함이 네트워크에 어떻게 추가되는지 확인하려면 해당 다차원 API 결함이 해당 구성 요소 부분으로 분해해야 합니다. 활성화된 디버그 기능 문제부터 시작해 보겠습니다. 디버깅은 개발자가 응용 프로그램이 제대로 수행되지 않거나 오류를 만들지 않는 이유를 파악하는 데 도움이 되는 유용한 도구입니다. 디버깅을 사용하도록 설정하면 오류 와 예외가 자세한 오류 페이지를 생성하므로 개발자가 무엇이 잘못되었는지 확인하고 문제를 해결할 수 있습니다. 응용 프로그램이 아직 개발 중인 동안 이 활성을 갖는 것은 완벽합니다.
그러나 대부분의 프레임워크에 디버깅이 활성화된 코드에서 프로덕션 환경에서 디버그 모드를 실행하는 것에 대한 경고가 있는 이유가 있습니다. 예를 들어:
# 보안 경고 : 디버그가 생산에서 켜져 실행되지 마십시오!
디버그 = True
이 예제에서는 디버깅이 활성화되었습니다. 예외가 발생하면 장고 응용 프로그램은 자세한 오류 페이지를 생성합니다. 프로덕션 환경에서 이 작업을 수행하는 경우 적대범은 환경에 대한 메타데이터 정보를 포함하는 이러한 오류 페이지에 액세스할 수 있습니다. 대부분의 프레임워크는 기본적으로 디버깅을 해제했지만 긴 개발 프로세스 중에 활성화되면 다시 전환하는 것을 잊어버리기 쉽습니다. 그런 다음 응용 프로그램이 프로덕션 환경으로 이동하면 공격자에게 응용 프로그램 또는 전체 서버 또는 네트워크를 손상시키는 방법에 대한 많은 정보를 제공합니다.
디버그 모드를 사용하도록 설정하는 것은 대부분 독립 실행형 문제이지만 부적절한 사용 권한과 비활성화된 보안 기능은 취약점이 함께 작동하는 경우가 많습니다. 예를 들어 OWASP에서 제공하는 실제 시나리오에서 공격자는 검색 엔진을 사용하여 실수로 인터넷에 연결된 데이터베이스를 찾습니다. 인기 있는 데이터베이스 관리 시스템이 기본 구성을 사용하고 있었기 때문에 인증이 비활성화되었습니다. 따라서 부적절한 권한과 비활성화된 보안 기능을 결합하여 취약점을 제공함으로써 공격자는 PII, 개인 기본 설정 및 인증 데이터와 수백만 개의 레코드에 액세스할 수 있게 되었습니다.
비활성화된 보안 기능/디버그 기능 사용/부적절한 권한 취약점 제거
이 취약점을 제거하는 두 갈래의 접근 방식을 만들어야 할 것입니다. 문제의 사용 가능한 디버그 부분을 제거하려면 개발 프로세스에 검사를 추가하여 API 또는 응용 프로그램을 프로덕션 환경으로 이동하기 전에 디버깅을 사용하지 않도록 하기만 하면 됩니다. 우리의 예에서, 그렇게 할 수있는 적절한 명령은 다음과 같습니다 .
# 보안 경고 : 디버그가 생산에서 켜져 실행되지 마십시오!
디버그 = 거짓
이제 장고 응용 프로그램의 디버그 피쳐는 FALSE로 구성된 DEBUG 플래그로 비활성화됩니다. 오류에 대한 응답으로 오류 페이지가 생성되지 않습니다. 적대국이 여전히 오류 페이지에 액세스할 수 있는 경우 유용한 메타데이터가 포함되지 않으며 응용 프로그램에 위험을 초래하지 않습니다.
다양한 특정 취약점을 포괄할 수 있으므로 비활성화된 보안 기능 및 부적절한 권한 취약점제거가 훨씬 더 어렵습니다. 이를 막는 가장 좋은 방법은 표준적이고 반복 가능한 프로세스를 개발하여 잠긴 자산을 프로덕션 환경에 빠르고 쉽게 배포할 수 있도록 하는 것입니다.
그럼에도 불구하고 오케스트레이션 파일, API 구성 요소 및 Amazon S3 버킷 사용 권한과 같은 클라우드 서비스가 지속적으로 검토되고 업데이트되는 프로세스를 만들어야 합니다. 또한 이 검토는 조직이 항상 API 보안을 개선하고 있는지 확인하기 위해 시간이 지남에 따라 전체 환경의 보안 설정의 전반적인 효율성을 평가해야 합니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
이 목록의 대부분의 취약점은 API와 매우 관련이 있지만 비활성화된 보안 기능/디버그 기능 사용/부적절한 권한 문제는 어디서나 공격할 수 있는 문제입니다. API에서 좀 더 널리 퍼질 가능성이 있지만 공격자는 종종 패치되지 않은 결함과 보호되지 않은 파일 또는 네트워크 의 어느 곳에서나 디렉토리를 찾으려고 시도합니다. 디버깅을 사용하도록 설정하거나 보안 기능을 사용하지 않도록 설정한 API를 통해 오면 악의적인 작업이 좀 더 쉬워집니다. 더 나쁜 것은 자동화된 도구가 보안 오구성을 감지하고 악용할 수 있으므로 환경에 있는 경우 악용될 가능성이 있으므로 이 취약점으로 인해 위험한 API 결함의 OWASP 목록이 발생하게 됩니다.
우리가 재미에 들어가기 전에,이 디버그 문제를 해결할 수 있는지 확인 :
비활성화된 보안 기능/디버그 기능을 활성화/부적절한 사용 권한 결함은 API에 어떻게 몰래 넣을 수 있습니까?
이 다차원 API 결함이 네트워크에 어떻게 추가되는지 확인하려면 해당 다차원 API 결함이 해당 구성 요소 부분으로 분해해야 합니다. 활성화된 디버그 기능 문제부터 시작해 보겠습니다. 디버깅은 개발자가 응용 프로그램이 제대로 수행되지 않거나 오류를 만들지 않는 이유를 파악하는 데 도움이 되는 유용한 도구입니다. 디버깅을 사용하도록 설정하면 오류 와 예외가 자세한 오류 페이지를 생성하므로 개발자가 무엇이 잘못되었는지 확인하고 문제를 해결할 수 있습니다. 응용 프로그램이 아직 개발 중인 동안 이 활성을 갖는 것은 완벽합니다.
그러나 대부분의 프레임워크에 디버깅이 활성화된 코드에서 프로덕션 환경에서 디버그 모드를 실행하는 것에 대한 경고가 있는 이유가 있습니다. 예를 들어:
# 보안 경고 : 디버그가 생산에서 켜져 실행되지 마십시오!
디버그 = True
이 예제에서는 디버깅이 활성화되었습니다. 예외가 발생하면 장고 응용 프로그램은 자세한 오류 페이지를 생성합니다. 프로덕션 환경에서 이 작업을 수행하는 경우 적대범은 환경에 대한 메타데이터 정보를 포함하는 이러한 오류 페이지에 액세스할 수 있습니다. 대부분의 프레임워크는 기본적으로 디버깅을 해제했지만 긴 개발 프로세스 중에 활성화되면 다시 전환하는 것을 잊어버리기 쉽습니다. 그런 다음 응용 프로그램이 프로덕션 환경으로 이동하면 공격자에게 응용 프로그램 또는 전체 서버 또는 네트워크를 손상시키는 방법에 대한 많은 정보를 제공합니다.
디버그 모드를 사용하도록 설정하는 것은 대부분 독립 실행형 문제이지만 부적절한 사용 권한과 비활성화된 보안 기능은 취약점이 함께 작동하는 경우가 많습니다. 예를 들어 OWASP에서 제공하는 실제 시나리오에서 공격자는 검색 엔진을 사용하여 실수로 인터넷에 연결된 데이터베이스를 찾습니다. 인기 있는 데이터베이스 관리 시스템이 기본 구성을 사용하고 있었기 때문에 인증이 비활성화되었습니다. 따라서 부적절한 권한과 비활성화된 보안 기능을 결합하여 취약점을 제공함으로써 공격자는 PII, 개인 기본 설정 및 인증 데이터와 수백만 개의 레코드에 액세스할 수 있게 되었습니다.
비활성화된 보안 기능/디버그 기능 사용/부적절한 권한 취약점 제거
이 취약점을 제거하는 두 갈래의 접근 방식을 만들어야 할 것입니다. 문제의 사용 가능한 디버그 부분을 제거하려면 개발 프로세스에 검사를 추가하여 API 또는 응용 프로그램을 프로덕션 환경으로 이동하기 전에 디버깅을 사용하지 않도록 하기만 하면 됩니다. 우리의 예에서, 그렇게 할 수있는 적절한 명령은 다음과 같습니다 .
# 보안 경고 : 디버그가 생산에서 켜져 실행되지 마십시오!
디버그 = 거짓
이제 장고 응용 프로그램의 디버그 피쳐는 FALSE로 구성된 DEBUG 플래그로 비활성화됩니다. 오류에 대한 응답으로 오류 페이지가 생성되지 않습니다. 적대국이 여전히 오류 페이지에 액세스할 수 있는 경우 유용한 메타데이터가 포함되지 않으며 응용 프로그램에 위험을 초래하지 않습니다.
다양한 특정 취약점을 포괄할 수 있으므로 비활성화된 보안 기능 및 부적절한 권한 취약점제거가 훨씬 더 어렵습니다. 이를 막는 가장 좋은 방법은 표준적이고 반복 가능한 프로세스를 개발하여 잠긴 자산을 프로덕션 환경에 빠르고 쉽게 배포할 수 있도록 하는 것입니다.
그럼에도 불구하고 오케스트레이션 파일, API 구성 요소 및 Amazon S3 버킷 사용 권한과 같은 클라우드 서비스가 지속적으로 검토되고 업데이트되는 프로세스를 만들어야 합니다. 또한 이 검토는 조직이 항상 API 보안을 개선하고 있는지 확인하기 위해 시간이 지남에 따라 전체 환경의 보안 설정의 전반적인 효율성을 평가해야 합니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
이 목록의 대부분의 취약점은 API와 매우 관련이 있지만 비활성화된 보안 기능/디버그 기능 사용/부적절한 권한 문제는 어디서나 공격할 수 있는 문제입니다. API에서 좀 더 널리 퍼질 가능성이 있지만 공격자는 종종 패치되지 않은 결함과 보호되지 않은 파일 또는 네트워크 의 어느 곳에서나 디렉토리를 찾으려고 시도합니다. 디버깅을 사용하도록 설정하거나 보안 기능을 사용하지 않도록 설정한 API를 통해 오면 악의적인 작업이 좀 더 쉬워집니다. 더 나쁜 것은 자동화된 도구가 보안 오구성을 감지하고 악용할 수 있으므로 환경에 있는 경우 악용될 가능성이 있으므로 이 취약점으로 인해 위험한 API 결함의 OWASP 목록이 발생하게 됩니다.
우리가 재미에 들어가기 전에,이 디버그 문제를 해결할 수 있는지 확인 :
비활성화된 보안 기능/디버그 기능을 활성화/부적절한 사용 권한 결함은 API에 어떻게 몰래 넣을 수 있습니까?
이 다차원 API 결함이 네트워크에 어떻게 추가되는지 확인하려면 해당 다차원 API 결함이 해당 구성 요소 부분으로 분해해야 합니다. 활성화된 디버그 기능 문제부터 시작해 보겠습니다. 디버깅은 개발자가 응용 프로그램이 제대로 수행되지 않거나 오류를 만들지 않는 이유를 파악하는 데 도움이 되는 유용한 도구입니다. 디버깅을 사용하도록 설정하면 오류 와 예외가 자세한 오류 페이지를 생성하므로 개발자가 무엇이 잘못되었는지 확인하고 문제를 해결할 수 있습니다. 응용 프로그램이 아직 개발 중인 동안 이 활성을 갖는 것은 완벽합니다.
그러나 대부분의 프레임워크에 디버깅이 활성화된 코드에서 프로덕션 환경에서 디버그 모드를 실행하는 것에 대한 경고가 있는 이유가 있습니다. 예를 들어:
# 보안 경고 : 디버그가 생산에서 켜져 실행되지 마십시오!
디버그 = True
이 예제에서는 디버깅이 활성화되었습니다. 예외가 발생하면 장고 응용 프로그램은 자세한 오류 페이지를 생성합니다. 프로덕션 환경에서 이 작업을 수행하는 경우 적대범은 환경에 대한 메타데이터 정보를 포함하는 이러한 오류 페이지에 액세스할 수 있습니다. 대부분의 프레임워크는 기본적으로 디버깅을 해제했지만 긴 개발 프로세스 중에 활성화되면 다시 전환하는 것을 잊어버리기 쉽습니다. 그런 다음 응용 프로그램이 프로덕션 환경으로 이동하면 공격자에게 응용 프로그램 또는 전체 서버 또는 네트워크를 손상시키는 방법에 대한 많은 정보를 제공합니다.
디버그 모드를 사용하도록 설정하는 것은 대부분 독립 실행형 문제이지만 부적절한 사용 권한과 비활성화된 보안 기능은 취약점이 함께 작동하는 경우가 많습니다. 예를 들어 OWASP에서 제공하는 실제 시나리오에서 공격자는 검색 엔진을 사용하여 실수로 인터넷에 연결된 데이터베이스를 찾습니다. 인기 있는 데이터베이스 관리 시스템이 기본 구성을 사용하고 있었기 때문에 인증이 비활성화되었습니다. 따라서 부적절한 권한과 비활성화된 보안 기능을 결합하여 취약점을 제공함으로써 공격자는 PII, 개인 기본 설정 및 인증 데이터와 수백만 개의 레코드에 액세스할 수 있게 되었습니다.
비활성화된 보안 기능/디버그 기능 사용/부적절한 권한 취약점 제거
이 취약점을 제거하는 두 갈래의 접근 방식을 만들어야 할 것입니다. 문제의 사용 가능한 디버그 부분을 제거하려면 개발 프로세스에 검사를 추가하여 API 또는 응용 프로그램을 프로덕션 환경으로 이동하기 전에 디버깅을 사용하지 않도록 하기만 하면 됩니다. 우리의 예에서, 그렇게 할 수있는 적절한 명령은 다음과 같습니다 .
# 보안 경고 : 디버그가 생산에서 켜져 실행되지 마십시오!
디버그 = 거짓
이제 장고 응용 프로그램의 디버그 피쳐는 FALSE로 구성된 DEBUG 플래그로 비활성화됩니다. 오류에 대한 응답으로 오류 페이지가 생성되지 않습니다. 적대국이 여전히 오류 페이지에 액세스할 수 있는 경우 유용한 메타데이터가 포함되지 않으며 응용 프로그램에 위험을 초래하지 않습니다.
다양한 특정 취약점을 포괄할 수 있으므로 비활성화된 보안 기능 및 부적절한 권한 취약점제거가 훨씬 더 어렵습니다. 이를 막는 가장 좋은 방법은 표준적이고 반복 가능한 프로세스를 개발하여 잠긴 자산을 프로덕션 환경에 빠르고 쉽게 배포할 수 있도록 하는 것입니다.
그럼에도 불구하고 오케스트레이션 파일, API 구성 요소 및 Amazon S3 버킷 사용 권한과 같은 클라우드 서비스가 지속적으로 검토되고 업데이트되는 프로세스를 만들어야 합니다. 또한 이 검토는 조직이 항상 API 보안을 개선하고 있는지 확인하기 위해 시간이 지남에 따라 전체 환경의 보안 설정의 전반적인 효율성을 평가해야 합니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
목차
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드시작을 위한 자료
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 애플리케이션 보안의 힘 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
