Les codeurs conquièrent la série des 10 meilleures API de l'OWASP en matière de sécurité : exposition excessive des données
과도한 데이터 노출 취약점은 매우 구체적인 종류의 데이터를 포함한다는 점에서 OWASP 목록의 다른 API 문제와 구별됩니다. 취약점의 실제 역학은 다른 사람과 유사하지만, 이 경우 과도한 데이터 노출은 법적으로 보호되거나 매우 민감한 데이터와 관련된 것으로 정의됩니다. 여기에는 PII라고도 하는 개인 식별 정보가 포함될 수 있습니다. 또는 결제 카드 산업 정보 또는 PCI가 포함될 수 있습니다. 마지막으로, 과도한 데이터 노출에는 유럽의 일반 데이터 보호 규정(GDPR) 또는 미국의 건강 보험 이식성 및 책임법(HIPAA)과 같은 개인 정보 보호법의 적용을 받는 정보가 포함될 수 있습니다.
당신이 상상할 수 있듯이, 이것은 깊은 우려의 원인이며, 정통한 개발자가 가능한 한 이러한 버그를 분쇄하는 방법을 배워야합니다. 데이터 노출 드래곤을 사용할 준비가 되어 있다면, 게임화된 도전과제로 향하세요.
점수는 무엇이었나요? 계속 읽고 자세히 알아보십시오.
과도한 데이터 노출의 몇 가지 예는 무엇입니까?
과도한 데이터 노출이 발생하는 주된 이유 중 하나는 개발자와 코더가 응용 프로그램에서 사용할 데이터의 종류에 대한 충분한 통찰력을 가지고 있지 않기 때문입니다. 따라서 개발자는 모든 개체 속성이 최종 사용자에게 노출되는 일반 프로세스를 활용하는 경향이 있습니다.
개발자는 또한 프런트엔드 구성 요소가 사용자에게 정보를 표시하기 전에 데이터 필터링을 수행한다고 가정하기도 합니다. 대부분의 일반 데이터의 경우 문제가 거의 없습니다. 그러나 세션 ID의 일부로 법적으로 보호되거나 중요한 데이터를 사용자에게 노출하면 보안과 법적 관점에서 큰 문제가 발생할 수 있습니다.
OWASP 보고서는 감지데이터를 실수로 쉽게 공유할 수 있는 방법의 예로, 보안 요원이 시설의 특정 IOT 기반 카메라에 액세스할 수 있는 시나리오를 구상합니다. 아마도 그 카메라는 밀봉 및 보안 영역을 감시하고, 사람들을 보는 다른 카메라는 더 높은 권한을 가진 경비원이나 감독자로 제한되어야합니다.
가드가 권한이 있는 카메라에 액세스할 수 있도록 개발자는 다음과 같은 API 호출을 사용할 수 있습니다.
/api/사이트/111/카메라
이에 대한 응답으로 앱은 가드가 다음 형식으로 볼 수 있는 카메라에 대한 세부 정보를 전송합니다.
{ "id":"xxx","live_access_token":"xxxxbbbbb","building_id":"yyy"}
표면에, 이것은 잘 작동하는 것처럼 보일 것입니다. 앱에서 그래픽 사용자 인터페이스를 사용하는 가드는 볼 권한이 있는 카메라 피드만 볼 수 있습니다. 문제는 사용되는 일반 코드 로 인해 실제 API 응답에 시설 전체의 모든 카메라의 전체 목록이 포함되어 있다는 것입니다. 해당 데이터를 캡처하거나 가드의 계정을 손상시키는 네트워크를 스니핑하는 사람은 네트워크의 모든 카메라에 대한 위치와 명명방법을 발견할 수 있습니다. 그런 다음 제한 없이 해당 데이터에 액세스할 수 있습니다.
과도한 데이터 노출 제거
과도한 데이터 노출을 방지하는 가장 큰 열쇠는 데이터와 데이터를 둘러싼 보호에 대한 이해입니다. 일반 API를 만들고 사용자에게 표시하기 전에 데이터를 정렬하도록 클라이언트에 맡기는 것은 예방 가능한 많은 보안 침해로 이어지는 위험한 선택입니다.
관련 데이터 보호를 이해하는 것 외에도 일반 API를 사용하여 모든 것을 사용자에게 보내는 프로세스를 중지하는 것도 중요합니다. 예를 들어 to_json() 및 to_string()와 같은 코드는 피해야 합니다. 대신 코드는 특별히 권한이 있는 사용자에게 반환해야 하는 속성을 선택하고 해당 정보를 독점적으로 보내야 합니다.
보호된 데이터가 실수로 과도하게 공유되지 않도록 하기 위해 조직은 스키마 기반 대응 유효성 검사 메커니즘을 추가 보안 계층으로 구현하는 것을 고려해야 합니다. 오류 보고 규칙을 포함하여 모든 API 메서드에서 반환되는 데이터를 정의하고 적용해야 합니다.
마지막으로 PII 또는 PCI를 포함하는 것으로 분류되는 모든 데이터 또는 GDPR 또는 HIPAA와 같은 규정에 의해 보호되는 정보는 강력한 암호화를 사용하여 보호해야 합니다. 이렇게 하면 과도한 데이터 노출 취약점의 일부로 해당 데이터의 위치가 미끄러지더라도 악의적인 사용자 또는 위협 행위자의 손에 닿더라도 데이터를 보호해야 하는 좋은 보조 방어 선이 있습니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
Les mécanismes réels à l'origine de cette vulnérabilité sont similaires aux autres, mais une exposition excessive des données, dans ce cas, est définie comme impliquant des données protégées par la loi ou hautement sensibles.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
과도한 데이터 노출 취약점은 매우 구체적인 종류의 데이터를 포함한다는 점에서 OWASP 목록의 다른 API 문제와 구별됩니다. 취약점의 실제 역학은 다른 사람과 유사하지만, 이 경우 과도한 데이터 노출은 법적으로 보호되거나 매우 민감한 데이터와 관련된 것으로 정의됩니다. 여기에는 PII라고도 하는 개인 식별 정보가 포함될 수 있습니다. 또는 결제 카드 산업 정보 또는 PCI가 포함될 수 있습니다. 마지막으로, 과도한 데이터 노출에는 유럽의 일반 데이터 보호 규정(GDPR) 또는 미국의 건강 보험 이식성 및 책임법(HIPAA)과 같은 개인 정보 보호법의 적용을 받는 정보가 포함될 수 있습니다.
당신이 상상할 수 있듯이, 이것은 깊은 우려의 원인이며, 정통한 개발자가 가능한 한 이러한 버그를 분쇄하는 방법을 배워야합니다. 데이터 노출 드래곤을 사용할 준비가 되어 있다면, 게임화된 도전과제로 향하세요.
점수는 무엇이었나요? 계속 읽고 자세히 알아보십시오.
과도한 데이터 노출의 몇 가지 예는 무엇입니까?
과도한 데이터 노출이 발생하는 주된 이유 중 하나는 개발자와 코더가 응용 프로그램에서 사용할 데이터의 종류에 대한 충분한 통찰력을 가지고 있지 않기 때문입니다. 따라서 개발자는 모든 개체 속성이 최종 사용자에게 노출되는 일반 프로세스를 활용하는 경향이 있습니다.
개발자는 또한 프런트엔드 구성 요소가 사용자에게 정보를 표시하기 전에 데이터 필터링을 수행한다고 가정하기도 합니다. 대부분의 일반 데이터의 경우 문제가 거의 없습니다. 그러나 세션 ID의 일부로 법적으로 보호되거나 중요한 데이터를 사용자에게 노출하면 보안과 법적 관점에서 큰 문제가 발생할 수 있습니다.
OWASP 보고서는 감지데이터를 실수로 쉽게 공유할 수 있는 방법의 예로, 보안 요원이 시설의 특정 IOT 기반 카메라에 액세스할 수 있는 시나리오를 구상합니다. 아마도 그 카메라는 밀봉 및 보안 영역을 감시하고, 사람들을 보는 다른 카메라는 더 높은 권한을 가진 경비원이나 감독자로 제한되어야합니다.
가드가 권한이 있는 카메라에 액세스할 수 있도록 개발자는 다음과 같은 API 호출을 사용할 수 있습니다.
/api/사이트/111/카메라
이에 대한 응답으로 앱은 가드가 다음 형식으로 볼 수 있는 카메라에 대한 세부 정보를 전송합니다.
{ "id":"xxx","live_access_token":"xxxxbbbbb","building_id":"yyy"}
표면에, 이것은 잘 작동하는 것처럼 보일 것입니다. 앱에서 그래픽 사용자 인터페이스를 사용하는 가드는 볼 권한이 있는 카메라 피드만 볼 수 있습니다. 문제는 사용되는 일반 코드 로 인해 실제 API 응답에 시설 전체의 모든 카메라의 전체 목록이 포함되어 있다는 것입니다. 해당 데이터를 캡처하거나 가드의 계정을 손상시키는 네트워크를 스니핑하는 사람은 네트워크의 모든 카메라에 대한 위치와 명명방법을 발견할 수 있습니다. 그런 다음 제한 없이 해당 데이터에 액세스할 수 있습니다.
과도한 데이터 노출 제거
과도한 데이터 노출을 방지하는 가장 큰 열쇠는 데이터와 데이터를 둘러싼 보호에 대한 이해입니다. 일반 API를 만들고 사용자에게 표시하기 전에 데이터를 정렬하도록 클라이언트에 맡기는 것은 예방 가능한 많은 보안 침해로 이어지는 위험한 선택입니다.
관련 데이터 보호를 이해하는 것 외에도 일반 API를 사용하여 모든 것을 사용자에게 보내는 프로세스를 중지하는 것도 중요합니다. 예를 들어 to_json() 및 to_string()와 같은 코드는 피해야 합니다. 대신 코드는 특별히 권한이 있는 사용자에게 반환해야 하는 속성을 선택하고 해당 정보를 독점적으로 보내야 합니다.
보호된 데이터가 실수로 과도하게 공유되지 않도록 하기 위해 조직은 스키마 기반 대응 유효성 검사 메커니즘을 추가 보안 계층으로 구현하는 것을 고려해야 합니다. 오류 보고 규칙을 포함하여 모든 API 메서드에서 반환되는 데이터를 정의하고 적용해야 합니다.
마지막으로 PII 또는 PCI를 포함하는 것으로 분류되는 모든 데이터 또는 GDPR 또는 HIPAA와 같은 규정에 의해 보호되는 정보는 강력한 암호화를 사용하여 보호해야 합니다. 이렇게 하면 과도한 데이터 노출 취약점의 일부로 해당 데이터의 위치가 미끄러지더라도 악의적인 사용자 또는 위협 행위자의 손에 닿더라도 데이터를 보호해야 하는 좋은 보조 방어 선이 있습니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
과도한 데이터 노출 취약점은 매우 구체적인 종류의 데이터를 포함한다는 점에서 OWASP 목록의 다른 API 문제와 구별됩니다. 취약점의 실제 역학은 다른 사람과 유사하지만, 이 경우 과도한 데이터 노출은 법적으로 보호되거나 매우 민감한 데이터와 관련된 것으로 정의됩니다. 여기에는 PII라고도 하는 개인 식별 정보가 포함될 수 있습니다. 또는 결제 카드 산업 정보 또는 PCI가 포함될 수 있습니다. 마지막으로, 과도한 데이터 노출에는 유럽의 일반 데이터 보호 규정(GDPR) 또는 미국의 건강 보험 이식성 및 책임법(HIPAA)과 같은 개인 정보 보호법의 적용을 받는 정보가 포함될 수 있습니다.
당신이 상상할 수 있듯이, 이것은 깊은 우려의 원인이며, 정통한 개발자가 가능한 한 이러한 버그를 분쇄하는 방법을 배워야합니다. 데이터 노출 드래곤을 사용할 준비가 되어 있다면, 게임화된 도전과제로 향하세요.
점수는 무엇이었나요? 계속 읽고 자세히 알아보십시오.
과도한 데이터 노출의 몇 가지 예는 무엇입니까?
과도한 데이터 노출이 발생하는 주된 이유 중 하나는 개발자와 코더가 응용 프로그램에서 사용할 데이터의 종류에 대한 충분한 통찰력을 가지고 있지 않기 때문입니다. 따라서 개발자는 모든 개체 속성이 최종 사용자에게 노출되는 일반 프로세스를 활용하는 경향이 있습니다.
개발자는 또한 프런트엔드 구성 요소가 사용자에게 정보를 표시하기 전에 데이터 필터링을 수행한다고 가정하기도 합니다. 대부분의 일반 데이터의 경우 문제가 거의 없습니다. 그러나 세션 ID의 일부로 법적으로 보호되거나 중요한 데이터를 사용자에게 노출하면 보안과 법적 관점에서 큰 문제가 발생할 수 있습니다.
OWASP 보고서는 감지데이터를 실수로 쉽게 공유할 수 있는 방법의 예로, 보안 요원이 시설의 특정 IOT 기반 카메라에 액세스할 수 있는 시나리오를 구상합니다. 아마도 그 카메라는 밀봉 및 보안 영역을 감시하고, 사람들을 보는 다른 카메라는 더 높은 권한을 가진 경비원이나 감독자로 제한되어야합니다.
가드가 권한이 있는 카메라에 액세스할 수 있도록 개발자는 다음과 같은 API 호출을 사용할 수 있습니다.
/api/사이트/111/카메라
이에 대한 응답으로 앱은 가드가 다음 형식으로 볼 수 있는 카메라에 대한 세부 정보를 전송합니다.
{ "id":"xxx","live_access_token":"xxxxbbbbb","building_id":"yyy"}
표면에, 이것은 잘 작동하는 것처럼 보일 것입니다. 앱에서 그래픽 사용자 인터페이스를 사용하는 가드는 볼 권한이 있는 카메라 피드만 볼 수 있습니다. 문제는 사용되는 일반 코드 로 인해 실제 API 응답에 시설 전체의 모든 카메라의 전체 목록이 포함되어 있다는 것입니다. 해당 데이터를 캡처하거나 가드의 계정을 손상시키는 네트워크를 스니핑하는 사람은 네트워크의 모든 카메라에 대한 위치와 명명방법을 발견할 수 있습니다. 그런 다음 제한 없이 해당 데이터에 액세스할 수 있습니다.
과도한 데이터 노출 제거
과도한 데이터 노출을 방지하는 가장 큰 열쇠는 데이터와 데이터를 둘러싼 보호에 대한 이해입니다. 일반 API를 만들고 사용자에게 표시하기 전에 데이터를 정렬하도록 클라이언트에 맡기는 것은 예방 가능한 많은 보안 침해로 이어지는 위험한 선택입니다.
관련 데이터 보호를 이해하는 것 외에도 일반 API를 사용하여 모든 것을 사용자에게 보내는 프로세스를 중지하는 것도 중요합니다. 예를 들어 to_json() 및 to_string()와 같은 코드는 피해야 합니다. 대신 코드는 특별히 권한이 있는 사용자에게 반환해야 하는 속성을 선택하고 해당 정보를 독점적으로 보내야 합니다.
보호된 데이터가 실수로 과도하게 공유되지 않도록 하기 위해 조직은 스키마 기반 대응 유효성 검사 메커니즘을 추가 보안 계층으로 구현하는 것을 고려해야 합니다. 오류 보고 규칙을 포함하여 모든 API 메서드에서 반환되는 데이터를 정의하고 적용해야 합니다.
마지막으로 PII 또는 PCI를 포함하는 것으로 분류되는 모든 데이터 또는 GDPR 또는 HIPAA와 같은 규정에 의해 보호되는 정보는 강력한 암호화를 사용하여 보호해야 합니다. 이렇게 하면 과도한 데이터 노출 취약점의 일부로 해당 데이터의 위치가 미끄러지더라도 악의적인 사용자 또는 위협 행위자의 손에 닿더라도 데이터를 보호해야 하는 좋은 보조 방어 선이 있습니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
과도한 데이터 노출 취약점은 매우 구체적인 종류의 데이터를 포함한다는 점에서 OWASP 목록의 다른 API 문제와 구별됩니다. 취약점의 실제 역학은 다른 사람과 유사하지만, 이 경우 과도한 데이터 노출은 법적으로 보호되거나 매우 민감한 데이터와 관련된 것으로 정의됩니다. 여기에는 PII라고도 하는 개인 식별 정보가 포함될 수 있습니다. 또는 결제 카드 산업 정보 또는 PCI가 포함될 수 있습니다. 마지막으로, 과도한 데이터 노출에는 유럽의 일반 데이터 보호 규정(GDPR) 또는 미국의 건강 보험 이식성 및 책임법(HIPAA)과 같은 개인 정보 보호법의 적용을 받는 정보가 포함될 수 있습니다.
당신이 상상할 수 있듯이, 이것은 깊은 우려의 원인이며, 정통한 개발자가 가능한 한 이러한 버그를 분쇄하는 방법을 배워야합니다. 데이터 노출 드래곤을 사용할 준비가 되어 있다면, 게임화된 도전과제로 향하세요.
점수는 무엇이었나요? 계속 읽고 자세히 알아보십시오.
과도한 데이터 노출의 몇 가지 예는 무엇입니까?
과도한 데이터 노출이 발생하는 주된 이유 중 하나는 개발자와 코더가 응용 프로그램에서 사용할 데이터의 종류에 대한 충분한 통찰력을 가지고 있지 않기 때문입니다. 따라서 개발자는 모든 개체 속성이 최종 사용자에게 노출되는 일반 프로세스를 활용하는 경향이 있습니다.
개발자는 또한 프런트엔드 구성 요소가 사용자에게 정보를 표시하기 전에 데이터 필터링을 수행한다고 가정하기도 합니다. 대부분의 일반 데이터의 경우 문제가 거의 없습니다. 그러나 세션 ID의 일부로 법적으로 보호되거나 중요한 데이터를 사용자에게 노출하면 보안과 법적 관점에서 큰 문제가 발생할 수 있습니다.
OWASP 보고서는 감지데이터를 실수로 쉽게 공유할 수 있는 방법의 예로, 보안 요원이 시설의 특정 IOT 기반 카메라에 액세스할 수 있는 시나리오를 구상합니다. 아마도 그 카메라는 밀봉 및 보안 영역을 감시하고, 사람들을 보는 다른 카메라는 더 높은 권한을 가진 경비원이나 감독자로 제한되어야합니다.
가드가 권한이 있는 카메라에 액세스할 수 있도록 개발자는 다음과 같은 API 호출을 사용할 수 있습니다.
/api/사이트/111/카메라
이에 대한 응답으로 앱은 가드가 다음 형식으로 볼 수 있는 카메라에 대한 세부 정보를 전송합니다.
{ "id":"xxx","live_access_token":"xxxxbbbbb","building_id":"yyy"}
표면에, 이것은 잘 작동하는 것처럼 보일 것입니다. 앱에서 그래픽 사용자 인터페이스를 사용하는 가드는 볼 권한이 있는 카메라 피드만 볼 수 있습니다. 문제는 사용되는 일반 코드 로 인해 실제 API 응답에 시설 전체의 모든 카메라의 전체 목록이 포함되어 있다는 것입니다. 해당 데이터를 캡처하거나 가드의 계정을 손상시키는 네트워크를 스니핑하는 사람은 네트워크의 모든 카메라에 대한 위치와 명명방법을 발견할 수 있습니다. 그런 다음 제한 없이 해당 데이터에 액세스할 수 있습니다.
과도한 데이터 노출 제거
과도한 데이터 노출을 방지하는 가장 큰 열쇠는 데이터와 데이터를 둘러싼 보호에 대한 이해입니다. 일반 API를 만들고 사용자에게 표시하기 전에 데이터를 정렬하도록 클라이언트에 맡기는 것은 예방 가능한 많은 보안 침해로 이어지는 위험한 선택입니다.
관련 데이터 보호를 이해하는 것 외에도 일반 API를 사용하여 모든 것을 사용자에게 보내는 프로세스를 중지하는 것도 중요합니다. 예를 들어 to_json() 및 to_string()와 같은 코드는 피해야 합니다. 대신 코드는 특별히 권한이 있는 사용자에게 반환해야 하는 속성을 선택하고 해당 정보를 독점적으로 보내야 합니다.
보호된 데이터가 실수로 과도하게 공유되지 않도록 하기 위해 조직은 스키마 기반 대응 유효성 검사 메커니즘을 추가 보안 계층으로 구현하는 것을 고려해야 합니다. 오류 보고 규칙을 포함하여 모든 API 메서드에서 반환되는 데이터를 정의하고 적용해야 합니다.
마지막으로 PII 또는 PCI를 포함하는 것으로 분류되는 모든 데이터 또는 GDPR 또는 HIPAA와 같은 규정에 의해 보호되는 정보는 강력한 암호화를 사용하여 보호해야 합니다. 이렇게 하면 과도한 데이터 노출 취약점의 일부로 해당 데이터의 위치가 미끄러지더라도 악의적인 사용자 또는 위협 행위자의 손에 닿더라도 데이터를 보호해야 하는 좋은 보조 방어 선이 있습니다.
체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
목차
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger시작하는 데 도움이 되는 자료
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 애플리케이션 보안의 힘 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
