Coders Conquer Security OWASP Top 10 API-Serie — Fehlende Zugriffskontrolle auf Funktionsebene
이 블로그 시리즈는 응용 프로그램 프로그래밍 인터페이스(API)와 관련된 최악의 취약점 중 일부에 초점을 맞출 것입니다. 이러한 상태는 너무 나빠서 개방형 웹 응용 프로그램 보안프로젝트(OWASP)상위 API 취약점 목록을 만들었습니다. 최신 컴퓨팅 인프라에 API가 얼마나 중요한지를 감안할 때, 이러한 문제는 응용 프로그램 및 프로그램을 모든 비용으로 유지해야 하는 중요한 문제입니다.
누락된 함수 수준 액세스 제어 취약점을 통해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다. 일반적으로 함수와 리소스는 코드 또는 구성 설정에 의해 직접 보호되지만 올바르게 수행하는 것이 항상 쉬운 것은 아닙니다. 최신 응용 프로그램에는 여러 유형의 역할과 그룹과 복잡한 사용자 계층 구조가 포함되기 때문에 적절한 검사를 구현하는 것이 어려울 수 있습니다.
하지만 먼저, 이 까다로운 종류의 버그를 탐색할 때 어디에서 있는지 확인하기 위해 게임화된 도전을 플레이해 보는 것은 어떨까요?
좀 더 심층적인 모습을 살펴보겠습니다.
API는 구조가 높기 때문에 특히 이 결함에 취약합니다. 코드를 이해하는 공격자는 코드를 제한해야 하는 명령을 구현하는 방법에 대해 교육된 추측을 할 수 있습니다. 이것이 기능/리소스 수준 액세스 제어 취약점으로 인해 OWASP 상위 10위권이 된 주된 이유 중 하나입니다.
공격자는 함수 수준 액세스 제어 취약점을 어떻게 악용할 수 있습니까?
함수 나 리소스가 제대로 보호되지 않는다고 의심되는 공격자는 먼저 공격하려는 시스템에 액세스해야 합니다. 이 취약점을 악용하려면 합법적인 API 호출을 끝점으로 보낼 수 있는 권한이 있어야 합니다. 아마도 낮은 수준의 게스트 액세스 기능 또는 응용 프로그램의 기능의 일부로 익명으로 가입 하는 몇 가지 방법이 있다. 해당 액세스 권한이 설정되면 합법적인 API 호출에서 명령을 변경할 수 있습니다. 예를 들어 PUT로 GET을 교환하거나 URL의 사용자 문자열을 관리자로 변경할 수 있습니다. API가 구조화되어 있기 때문에 허용되는 명령과 문자열에 배치할 위치를 쉽게 추측할 수 있습니다.
OWASP는 신규 사용자가 웹 사이트에 가입할 수 있도록 설정된 등록 프로세스의 이러한 취약점을 예로 들 수 있습니다. 다음과 같이 API GET 호출을 사용할 수 있습니다.
/api/초대/{invite_guid}
악의적인 사용자는 사용자의 역할과 이메일을 포함하여 초대에 대한 세부 정보가 포함된 JSON을 다시 가져옵니다. 그런 다음 GET을 POST로 변경하고 다음 API 호출을 사용하여 사용자에서 관리자로 초대를 올릴 수도 있습니다.
POST /api/invites/new
{"email":"shadyguy@targetedsystem.com","role":"admin"}
관리자만 POST 명령을 보낼 수 있어야 하지만 제대로 보호되지 않으면 API는 이를 합법적인 것으로 받아들이고 공격자가 원하는 대로 실행합니다. 이 경우 악의적인 사용자가 새 관리자로 시스템에 참여하도록 초대됩니다. 그 후, 그들은 합법적 인 관리자가 할 수있는 것을보고 할 수 있었고, 이는 좋지 않을 것입니다.
기능 수준 액세스 제어 취약점 제거
공격자가 구조화 된 API 내에서 보호되지 않은 함수를 찾는 것은 어렵지 않기 때문에 이 API 취약점을 방지하는 것이 특히 중요합니다. API에 대한 어느 수준의 액세스 권한을 얻을 수 있는 한 코드 구조를 매핑하고 결국 팔로우할 호출을 만들 수 있습니다.
따라서 역할 기반 권한 부여 방법을 사용하여 모든 비즈니스 수준 기능을 보호해야 합니다. 대부분의 프레임워크는 이를 실현하기 위해 중앙 집중식 루틴을 제공합니다. 선택한 프레임워크가 구현하기 어려운 경우 쉽게 사용할 수 있도록 특별히 빌드된 외부 모듈이 많이 있습니다. 궁극적으로 어떤 방법을 선택하든 서버에서 권한을 구현해야 합니다. 클라이언트 측에서 함수를 보호하려고 하지 마십시오.
함수 및 리소스 수준 권한을 만들기 위해 작업할 때는 사용자에게 필요한 작업과 더 이상 수행할 수 있는 권한만 부여해야 합니다. API 또는 기타 것을 코딩할 때항상 그렇듯이 권한 방법론을 가장 적게 연습하십시오. 그것은 당신의 환경을 보호하고 도로 아래로 사이버 보안 관련 문제를 많이 머리를 것입니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
Die fehlende Sicherheitslücke bei der Zugriffskontrolle auf Funktionsebene ermöglicht es Benutzern, Funktionen auszuführen, die eingeschränkt werden sollten, oder ihnen den Zugriff auf Ressourcen zu ermöglichen, die geschützt werden sollten.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
이 블로그 시리즈는 응용 프로그램 프로그래밍 인터페이스(API)와 관련된 최악의 취약점 중 일부에 초점을 맞출 것입니다. 이러한 상태는 너무 나빠서 개방형 웹 응용 프로그램 보안프로젝트(OWASP)상위 API 취약점 목록을 만들었습니다. 최신 컴퓨팅 인프라에 API가 얼마나 중요한지를 감안할 때, 이러한 문제는 응용 프로그램 및 프로그램을 모든 비용으로 유지해야 하는 중요한 문제입니다.
누락된 함수 수준 액세스 제어 취약점을 통해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다. 일반적으로 함수와 리소스는 코드 또는 구성 설정에 의해 직접 보호되지만 올바르게 수행하는 것이 항상 쉬운 것은 아닙니다. 최신 응용 프로그램에는 여러 유형의 역할과 그룹과 복잡한 사용자 계층 구조가 포함되기 때문에 적절한 검사를 구현하는 것이 어려울 수 있습니다.
하지만 먼저, 이 까다로운 종류의 버그를 탐색할 때 어디에서 있는지 확인하기 위해 게임화된 도전을 플레이해 보는 것은 어떨까요?
좀 더 심층적인 모습을 살펴보겠습니다.
API는 구조가 높기 때문에 특히 이 결함에 취약합니다. 코드를 이해하는 공격자는 코드를 제한해야 하는 명령을 구현하는 방법에 대해 교육된 추측을 할 수 있습니다. 이것이 기능/리소스 수준 액세스 제어 취약점으로 인해 OWASP 상위 10위권이 된 주된 이유 중 하나입니다.
공격자는 함수 수준 액세스 제어 취약점을 어떻게 악용할 수 있습니까?
함수 나 리소스가 제대로 보호되지 않는다고 의심되는 공격자는 먼저 공격하려는 시스템에 액세스해야 합니다. 이 취약점을 악용하려면 합법적인 API 호출을 끝점으로 보낼 수 있는 권한이 있어야 합니다. 아마도 낮은 수준의 게스트 액세스 기능 또는 응용 프로그램의 기능의 일부로 익명으로 가입 하는 몇 가지 방법이 있다. 해당 액세스 권한이 설정되면 합법적인 API 호출에서 명령을 변경할 수 있습니다. 예를 들어 PUT로 GET을 교환하거나 URL의 사용자 문자열을 관리자로 변경할 수 있습니다. API가 구조화되어 있기 때문에 허용되는 명령과 문자열에 배치할 위치를 쉽게 추측할 수 있습니다.
OWASP는 신규 사용자가 웹 사이트에 가입할 수 있도록 설정된 등록 프로세스의 이러한 취약점을 예로 들 수 있습니다. 다음과 같이 API GET 호출을 사용할 수 있습니다.
/api/초대/{invite_guid}
악의적인 사용자는 사용자의 역할과 이메일을 포함하여 초대에 대한 세부 정보가 포함된 JSON을 다시 가져옵니다. 그런 다음 GET을 POST로 변경하고 다음 API 호출을 사용하여 사용자에서 관리자로 초대를 올릴 수도 있습니다.
POST /api/invites/new
{"email":"shadyguy@targetedsystem.com","role":"admin"}
관리자만 POST 명령을 보낼 수 있어야 하지만 제대로 보호되지 않으면 API는 이를 합법적인 것으로 받아들이고 공격자가 원하는 대로 실행합니다. 이 경우 악의적인 사용자가 새 관리자로 시스템에 참여하도록 초대됩니다. 그 후, 그들은 합법적 인 관리자가 할 수있는 것을보고 할 수 있었고, 이는 좋지 않을 것입니다.
기능 수준 액세스 제어 취약점 제거
공격자가 구조화 된 API 내에서 보호되지 않은 함수를 찾는 것은 어렵지 않기 때문에 이 API 취약점을 방지하는 것이 특히 중요합니다. API에 대한 어느 수준의 액세스 권한을 얻을 수 있는 한 코드 구조를 매핑하고 결국 팔로우할 호출을 만들 수 있습니다.
따라서 역할 기반 권한 부여 방법을 사용하여 모든 비즈니스 수준 기능을 보호해야 합니다. 대부분의 프레임워크는 이를 실현하기 위해 중앙 집중식 루틴을 제공합니다. 선택한 프레임워크가 구현하기 어려운 경우 쉽게 사용할 수 있도록 특별히 빌드된 외부 모듈이 많이 있습니다. 궁극적으로 어떤 방법을 선택하든 서버에서 권한을 구현해야 합니다. 클라이언트 측에서 함수를 보호하려고 하지 마십시오.
함수 및 리소스 수준 권한을 만들기 위해 작업할 때는 사용자에게 필요한 작업과 더 이상 수행할 수 있는 권한만 부여해야 합니다. API 또는 기타 것을 코딩할 때항상 그렇듯이 권한 방법론을 가장 적게 연습하십시오. 그것은 당신의 환경을 보호하고 도로 아래로 사이버 보안 관련 문제를 많이 머리를 것입니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
이 블로그 시리즈는 응용 프로그램 프로그래밍 인터페이스(API)와 관련된 최악의 취약점 중 일부에 초점을 맞출 것입니다. 이러한 상태는 너무 나빠서 개방형 웹 응용 프로그램 보안프로젝트(OWASP)상위 API 취약점 목록을 만들었습니다. 최신 컴퓨팅 인프라에 API가 얼마나 중요한지를 감안할 때, 이러한 문제는 응용 프로그램 및 프로그램을 모든 비용으로 유지해야 하는 중요한 문제입니다.
누락된 함수 수준 액세스 제어 취약점을 통해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다. 일반적으로 함수와 리소스는 코드 또는 구성 설정에 의해 직접 보호되지만 올바르게 수행하는 것이 항상 쉬운 것은 아닙니다. 최신 응용 프로그램에는 여러 유형의 역할과 그룹과 복잡한 사용자 계층 구조가 포함되기 때문에 적절한 검사를 구현하는 것이 어려울 수 있습니다.
하지만 먼저, 이 까다로운 종류의 버그를 탐색할 때 어디에서 있는지 확인하기 위해 게임화된 도전을 플레이해 보는 것은 어떨까요?
좀 더 심층적인 모습을 살펴보겠습니다.
API는 구조가 높기 때문에 특히 이 결함에 취약합니다. 코드를 이해하는 공격자는 코드를 제한해야 하는 명령을 구현하는 방법에 대해 교육된 추측을 할 수 있습니다. 이것이 기능/리소스 수준 액세스 제어 취약점으로 인해 OWASP 상위 10위권이 된 주된 이유 중 하나입니다.
공격자는 함수 수준 액세스 제어 취약점을 어떻게 악용할 수 있습니까?
함수 나 리소스가 제대로 보호되지 않는다고 의심되는 공격자는 먼저 공격하려는 시스템에 액세스해야 합니다. 이 취약점을 악용하려면 합법적인 API 호출을 끝점으로 보낼 수 있는 권한이 있어야 합니다. 아마도 낮은 수준의 게스트 액세스 기능 또는 응용 프로그램의 기능의 일부로 익명으로 가입 하는 몇 가지 방법이 있다. 해당 액세스 권한이 설정되면 합법적인 API 호출에서 명령을 변경할 수 있습니다. 예를 들어 PUT로 GET을 교환하거나 URL의 사용자 문자열을 관리자로 변경할 수 있습니다. API가 구조화되어 있기 때문에 허용되는 명령과 문자열에 배치할 위치를 쉽게 추측할 수 있습니다.
OWASP는 신규 사용자가 웹 사이트에 가입할 수 있도록 설정된 등록 프로세스의 이러한 취약점을 예로 들 수 있습니다. 다음과 같이 API GET 호출을 사용할 수 있습니다.
/api/초대/{invite_guid}
악의적인 사용자는 사용자의 역할과 이메일을 포함하여 초대에 대한 세부 정보가 포함된 JSON을 다시 가져옵니다. 그런 다음 GET을 POST로 변경하고 다음 API 호출을 사용하여 사용자에서 관리자로 초대를 올릴 수도 있습니다.
POST /api/invites/new
{"email":"shadyguy@targetedsystem.com","role":"admin"}
관리자만 POST 명령을 보낼 수 있어야 하지만 제대로 보호되지 않으면 API는 이를 합법적인 것으로 받아들이고 공격자가 원하는 대로 실행합니다. 이 경우 악의적인 사용자가 새 관리자로 시스템에 참여하도록 초대됩니다. 그 후, 그들은 합법적 인 관리자가 할 수있는 것을보고 할 수 있었고, 이는 좋지 않을 것입니다.
기능 수준 액세스 제어 취약점 제거
공격자가 구조화 된 API 내에서 보호되지 않은 함수를 찾는 것은 어렵지 않기 때문에 이 API 취약점을 방지하는 것이 특히 중요합니다. API에 대한 어느 수준의 액세스 권한을 얻을 수 있는 한 코드 구조를 매핑하고 결국 팔로우할 호출을 만들 수 있습니다.
따라서 역할 기반 권한 부여 방법을 사용하여 모든 비즈니스 수준 기능을 보호해야 합니다. 대부분의 프레임워크는 이를 실현하기 위해 중앙 집중식 루틴을 제공합니다. 선택한 프레임워크가 구현하기 어려운 경우 쉽게 사용할 수 있도록 특별히 빌드된 외부 모듈이 많이 있습니다. 궁극적으로 어떤 방법을 선택하든 서버에서 권한을 구현해야 합니다. 클라이언트 측에서 함수를 보호하려고 하지 마십시오.
함수 및 리소스 수준 권한을 만들기 위해 작업할 때는 사용자에게 필요한 작업과 더 이상 수행할 수 있는 권한만 부여해야 합니다. API 또는 기타 것을 코딩할 때항상 그렇듯이 권한 방법론을 가장 적게 연습하십시오. 그것은 당신의 환경을 보호하고 도로 아래로 사이버 보안 관련 문제를 많이 머리를 것입니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
이 블로그 시리즈는 응용 프로그램 프로그래밍 인터페이스(API)와 관련된 최악의 취약점 중 일부에 초점을 맞출 것입니다. 이러한 상태는 너무 나빠서 개방형 웹 응용 프로그램 보안프로젝트(OWASP)상위 API 취약점 목록을 만들었습니다. 최신 컴퓨팅 인프라에 API가 얼마나 중요한지를 감안할 때, 이러한 문제는 응용 프로그램 및 프로그램을 모든 비용으로 유지해야 하는 중요한 문제입니다.
누락된 함수 수준 액세스 제어 취약점을 통해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다. 일반적으로 함수와 리소스는 코드 또는 구성 설정에 의해 직접 보호되지만 올바르게 수행하는 것이 항상 쉬운 것은 아닙니다. 최신 응용 프로그램에는 여러 유형의 역할과 그룹과 복잡한 사용자 계층 구조가 포함되기 때문에 적절한 검사를 구현하는 것이 어려울 수 있습니다.
하지만 먼저, 이 까다로운 종류의 버그를 탐색할 때 어디에서 있는지 확인하기 위해 게임화된 도전을 플레이해 보는 것은 어떨까요?
좀 더 심층적인 모습을 살펴보겠습니다.
API는 구조가 높기 때문에 특히 이 결함에 취약합니다. 코드를 이해하는 공격자는 코드를 제한해야 하는 명령을 구현하는 방법에 대해 교육된 추측을 할 수 있습니다. 이것이 기능/리소스 수준 액세스 제어 취약점으로 인해 OWASP 상위 10위권이 된 주된 이유 중 하나입니다.
공격자는 함수 수준 액세스 제어 취약점을 어떻게 악용할 수 있습니까?
함수 나 리소스가 제대로 보호되지 않는다고 의심되는 공격자는 먼저 공격하려는 시스템에 액세스해야 합니다. 이 취약점을 악용하려면 합법적인 API 호출을 끝점으로 보낼 수 있는 권한이 있어야 합니다. 아마도 낮은 수준의 게스트 액세스 기능 또는 응용 프로그램의 기능의 일부로 익명으로 가입 하는 몇 가지 방법이 있다. 해당 액세스 권한이 설정되면 합법적인 API 호출에서 명령을 변경할 수 있습니다. 예를 들어 PUT로 GET을 교환하거나 URL의 사용자 문자열을 관리자로 변경할 수 있습니다. API가 구조화되어 있기 때문에 허용되는 명령과 문자열에 배치할 위치를 쉽게 추측할 수 있습니다.
OWASP는 신규 사용자가 웹 사이트에 가입할 수 있도록 설정된 등록 프로세스의 이러한 취약점을 예로 들 수 있습니다. 다음과 같이 API GET 호출을 사용할 수 있습니다.
/api/초대/{invite_guid}
악의적인 사용자는 사용자의 역할과 이메일을 포함하여 초대에 대한 세부 정보가 포함된 JSON을 다시 가져옵니다. 그런 다음 GET을 POST로 변경하고 다음 API 호출을 사용하여 사용자에서 관리자로 초대를 올릴 수도 있습니다.
POST /api/invites/new
{"email":"shadyguy@targetedsystem.com","role":"admin"}
관리자만 POST 명령을 보낼 수 있어야 하지만 제대로 보호되지 않으면 API는 이를 합법적인 것으로 받아들이고 공격자가 원하는 대로 실행합니다. 이 경우 악의적인 사용자가 새 관리자로 시스템에 참여하도록 초대됩니다. 그 후, 그들은 합법적 인 관리자가 할 수있는 것을보고 할 수 있었고, 이는 좋지 않을 것입니다.
기능 수준 액세스 제어 취약점 제거
공격자가 구조화 된 API 내에서 보호되지 않은 함수를 찾는 것은 어렵지 않기 때문에 이 API 취약점을 방지하는 것이 특히 중요합니다. API에 대한 어느 수준의 액세스 권한을 얻을 수 있는 한 코드 구조를 매핑하고 결국 팔로우할 호출을 만들 수 있습니다.
따라서 역할 기반 권한 부여 방법을 사용하여 모든 비즈니스 수준 기능을 보호해야 합니다. 대부분의 프레임워크는 이를 실현하기 위해 중앙 집중식 루틴을 제공합니다. 선택한 프레임워크가 구현하기 어려운 경우 쉽게 사용할 수 있도록 특별히 빌드된 외부 모듈이 많이 있습니다. 궁극적으로 어떤 방법을 선택하든 서버에서 권한을 구현해야 합니다. 클라이언트 측에서 함수를 보호하려고 하지 마십시오.
함수 및 리소스 수준 권한을 만들기 위해 작업할 때는 사용자에게 필요한 작업과 더 이상 수행할 수 있는 권한만 부여해야 합니다. API 또는 기타 것을 코딩할 때항상 그렇듯이 권한 방법론을 가장 적게 연습하십시오. 그것은 당신의 환경을 보호하고 도로 아래로 사이버 보안 관련 문제를 많이 머리를 것입니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
목차
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드시작을 위한 자료
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 애플리케이션 보안의 힘 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
