코더 컨커 시큐리티 OWASP 상위 10 API 시리즈 - 누락된 수준 기능 액세스 제어
이 블로그 시리즈에서는 API (응용 프로그래밍 인터페이스) 와 관련된 몇 가지 최악의 취약점에 맞출 것입니다.이러한 문제가 너무 심해서 오픈 웹 애플리케이션 보안 프로젝트를 만들었습니다 (올말벌) 주요 API 취약점 목록.API가 최신 컴퓨팅 인프라에 얼마나 중요한지 생각할 때, 이러한 문제는 어떤 대가를 치르고도 애플리케이션과 프로그램에 접근하지 못하도록 해야 할 때입니다.
더 기능 수준 액세스 제어 기능 취약성으로 인해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다.일반적으로 함수와 리소스는 코드 구성 단계에서 직접 보호하면서도 올바르게 수행하기가 쉬운 것은 아닙니다.최신 프로그램에는 다양한 유형의 환경 및 역할 그룹과 사용자 계층이 있습니다.
##먼저 게임화된 챌린지에 참여하여 이 까다로운 버그를 어떻게 헤쳐쳐보는지 보는 건 어떨까요?
좀 더 자세히 살펴보겠습니다.
API는 고도로 구조화되어 있기 때문에 이 결함에 특히 취약합니다.이해하는 공격자는 정보를 바탕으로 자신감을 바탕으로 한 명령을 제한해야 하는 방법을 추측할 수 있습니다.이것이 함수/리소스 수준의 액세스 가능성으로 인해 OWASP가 상위 10위권에 오른 이유 중 하나입니다.
공격자는 수준 수준 > 액세스 제어 > 취약점을 어떻게 악용할 수 있나요?
###############################################################################################################################################################################################S로 바꿀 수 있습니다.다시 말씀드리지만 API는 구조화되어 있기 때문에 어떤 명령을 허용할지 문자열의 어디에서든 쉽게 추측할 수 있습니다.
OWASP는 신규 웹 사용자가 가입할 수 있는 고정 시스템 시스템 취약성에 대한 정보입니다.아마도 다음과 같은 API GET 호출을 사용할 것입니다.
GET /api/invites/ {초대_가이드}
악의적인 사용자는 사용자의 역할과 초대에 대한 세부 정보가 포함된 JSON을 받게 됩니다.그러면 사용자는 API 다음 호출을 사용하여 GET을 POST로 변경하고 초대를 사용자에서 관리자로 승격할 수 있습니다.
POST /api/초대/새로 만들기
{"이메일”:” shadyguy@targetedsystem.com “, “역할”: “관리자”}
관리자만 게시글을 남길 수 있지만, 제대로 보호되지 않으면 API는 이를 받아들이는 것이 합법적인 방법입니다.이 악의적인 사람은 새 관리자로 시스템에 참여하도록 초대합니다.그 뒤에는 적법한 사람이 볼 수 있는 것을 보고 할 수 있는 모든 것을 할 수 있습니다.
기능 수준 액세스 제어 취약성 제거
공격자가 구조화된 API 내에서 보호되지 않는 이미지를 얻을 수 있습니다.
역할 기반 인증 방법을 사용하여 비즈니스 수준 기능을 보호해야 합니다.대부분의 프레임워크는 이를 위한 중앙 집중식 루틴을 제공합니다.선택한 프레임워크는 그렇지 않습니다.
##2 #6 #리소스 수준 #0 #0 #0 #을 부여하고 그 이상은 부여하지 않는 점을 염두에 둘 수 있습니다. API나 다른 것을 코딩할 때 항상 그렇듯이 최소 권한 연습을 할 수 있는 방법:하세.오늘의 환경을 보호합니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로부터 온 피해로부터 온 조직과 고객을 위한 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 보기 시큐어 코드 워리어 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
이 블로그 시리즈에서는 API (응용 프로그래밍 인터페이스) 와 관련된 몇 가지 최악의 취약점에 맞출 것입니다.이러한 문제가 너무 심해서 오픈 웹 애플리케이션 보안 프로젝트를 만들었습니다 (올말벌) 주요 API 취약점 목록.API가 최신 컴퓨팅 인프라에 얼마나 중요한지 생각할 때, 이러한 문제는 어떤 대가를 치르고도 애플리케이션과 프로그램에 접근하지 못하도록 해야 할 때입니다.
더 기능 수준 액세스 제어 기능 취약성으로 인해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다.일반적으로 함수와 리소스는 코드 구성 단계에서 직접 보호하면서도 올바르게 수행하기가 쉬운 것은 아닙니다.최신 프로그램에는 다양한 유형의 환경 및 역할 그룹과 사용자 계층이 있습니다.
##먼저 게임화된 챌린지에 참여하여 이 까다로운 버그를 어떻게 헤쳐쳐보는지 보는 건 어떨까요?
좀 더 자세히 살펴보겠습니다.
API는 고도로 구조화되어 있기 때문에 이 결함에 특히 취약합니다.이해하는 공격자는 정보를 바탕으로 자신감을 바탕으로 한 명령을 제한해야 하는 방법을 추측할 수 있습니다.이것이 함수/리소스 수준의 액세스 가능성으로 인해 OWASP가 상위 10위권에 오른 이유 중 하나입니다.
공격자는 수준 수준 > 액세스 제어 > 취약점을 어떻게 악용할 수 있나요?
###############################################################################################################################################################################################S로 바꿀 수 있습니다.다시 말씀드리지만 API는 구조화되어 있기 때문에 어떤 명령을 허용할지 문자열의 어디에서든 쉽게 추측할 수 있습니다.
OWASP는 신규 웹 사용자가 가입할 수 있는 고정 시스템 시스템 취약성에 대한 정보입니다.아마도 다음과 같은 API GET 호출을 사용할 것입니다.
GET /api/invites/ {초대_가이드}
악의적인 사용자는 사용자의 역할과 초대에 대한 세부 정보가 포함된 JSON을 받게 됩니다.그러면 사용자는 API 다음 호출을 사용하여 GET을 POST로 변경하고 초대를 사용자에서 관리자로 승격할 수 있습니다.
POST /api/초대/새로 만들기
{"이메일”:” shadyguy@targetedsystem.com “, “역할”: “관리자”}
관리자만 게시글을 남길 수 있지만, 제대로 보호되지 않으면 API는 이를 받아들이는 것이 합법적인 방법입니다.이 악의적인 사람은 새 관리자로 시스템에 참여하도록 초대합니다.그 뒤에는 적법한 사람이 볼 수 있는 것을 보고 할 수 있는 모든 것을 할 수 있습니다.
기능 수준 액세스 제어 취약성 제거
공격자가 구조화된 API 내에서 보호되지 않는 이미지를 얻을 수 있습니다.
역할 기반 인증 방법을 사용하여 비즈니스 수준 기능을 보호해야 합니다.대부분의 프레임워크는 이를 위한 중앙 집중식 루틴을 제공합니다.선택한 프레임워크는 그렇지 않습니다.
##2 #6 #리소스 수준 #0 #0 #0 #을 부여하고 그 이상은 부여하지 않는 점을 염두에 둘 수 있습니다. API나 다른 것을 코딩할 때 항상 그렇듯이 최소 권한 연습을 할 수 있는 방법:하세.오늘의 환경을 보호합니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로부터 온 피해로부터 온 조직과 고객을 위한 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 보기 시큐어 코드 워리어 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
이 블로그 시리즈에서는 API (응용 프로그래밍 인터페이스) 와 관련된 몇 가지 최악의 취약점에 맞출 것입니다.이러한 문제가 너무 심해서 오픈 웹 애플리케이션 보안 프로젝트를 만들었습니다 (올말벌) 주요 API 취약점 목록.API가 최신 컴퓨팅 인프라에 얼마나 중요한지 생각할 때, 이러한 문제는 어떤 대가를 치르고도 애플리케이션과 프로그램에 접근하지 못하도록 해야 할 때입니다.
더 기능 수준 액세스 제어 기능 취약성으로 인해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다.일반적으로 함수와 리소스는 코드 구성 단계에서 직접 보호하면서도 올바르게 수행하기가 쉬운 것은 아닙니다.최신 프로그램에는 다양한 유형의 환경 및 역할 그룹과 사용자 계층이 있습니다.
##먼저 게임화된 챌린지에 참여하여 이 까다로운 버그를 어떻게 헤쳐쳐보는지 보는 건 어떨까요?
좀 더 자세히 살펴보겠습니다.
API는 고도로 구조화되어 있기 때문에 이 결함에 특히 취약합니다.이해하는 공격자는 정보를 바탕으로 자신감을 바탕으로 한 명령을 제한해야 하는 방법을 추측할 수 있습니다.이것이 함수/리소스 수준의 액세스 가능성으로 인해 OWASP가 상위 10위권에 오른 이유 중 하나입니다.
공격자는 수준 수준 > 액세스 제어 > 취약점을 어떻게 악용할 수 있나요?
###############################################################################################################################################################################################S로 바꿀 수 있습니다.다시 말씀드리지만 API는 구조화되어 있기 때문에 어떤 명령을 허용할지 문자열의 어디에서든 쉽게 추측할 수 있습니다.
OWASP는 신규 웹 사용자가 가입할 수 있는 고정 시스템 시스템 취약성에 대한 정보입니다.아마도 다음과 같은 API GET 호출을 사용할 것입니다.
GET /api/invites/ {초대_가이드}
악의적인 사용자는 사용자의 역할과 초대에 대한 세부 정보가 포함된 JSON을 받게 됩니다.그러면 사용자는 API 다음 호출을 사용하여 GET을 POST로 변경하고 초대를 사용자에서 관리자로 승격할 수 있습니다.
POST /api/초대/새로 만들기
{"이메일”:” shadyguy@targetedsystem.com “, “역할”: “관리자”}
관리자만 게시글을 남길 수 있지만, 제대로 보호되지 않으면 API는 이를 받아들이는 것이 합법적인 방법입니다.이 악의적인 사람은 새 관리자로 시스템에 참여하도록 초대합니다.그 뒤에는 적법한 사람이 볼 수 있는 것을 보고 할 수 있는 모든 것을 할 수 있습니다.
기능 수준 액세스 제어 취약성 제거
공격자가 구조화된 API 내에서 보호되지 않는 이미지를 얻을 수 있습니다.
역할 기반 인증 방법을 사용하여 비즈니스 수준 기능을 보호해야 합니다.대부분의 프레임워크는 이를 위한 중앙 집중식 루틴을 제공합니다.선택한 프레임워크는 그렇지 않습니다.
##2 #6 #리소스 수준 #0 #0 #0 #을 부여하고 그 이상은 부여하지 않는 점을 염두에 둘 수 있습니다. API나 다른 것을 코딩할 때 항상 그렇듯이 최소 권한 연습을 할 수 있는 방법:하세.오늘의 환경을 보호합니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로부터 온 피해로부터 온 조직과 고객을 위한 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 보기 시큐어 코드 워리어 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
이 블로그 시리즈에서는 API (응용 프로그래밍 인터페이스) 와 관련된 몇 가지 최악의 취약점에 맞출 것입니다.이러한 문제가 너무 심해서 오픈 웹 애플리케이션 보안 프로젝트를 만들었습니다 (올말벌) 주요 API 취약점 목록.API가 최신 컴퓨팅 인프라에 얼마나 중요한지 생각할 때, 이러한 문제는 어떤 대가를 치르고도 애플리케이션과 프로그램에 접근하지 못하도록 해야 할 때입니다.
더 기능 수준 액세스 제어 기능 취약성으로 인해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다.일반적으로 함수와 리소스는 코드 구성 단계에서 직접 보호하면서도 올바르게 수행하기가 쉬운 것은 아닙니다.최신 프로그램에는 다양한 유형의 환경 및 역할 그룹과 사용자 계층이 있습니다.
##먼저 게임화된 챌린지에 참여하여 이 까다로운 버그를 어떻게 헤쳐쳐보는지 보는 건 어떨까요?
좀 더 자세히 살펴보겠습니다.
API는 고도로 구조화되어 있기 때문에 이 결함에 특히 취약합니다.이해하는 공격자는 정보를 바탕으로 자신감을 바탕으로 한 명령을 제한해야 하는 방법을 추측할 수 있습니다.이것이 함수/리소스 수준의 액세스 가능성으로 인해 OWASP가 상위 10위권에 오른 이유 중 하나입니다.
공격자는 수준 수준 > 액세스 제어 > 취약점을 어떻게 악용할 수 있나요?
###############################################################################################################################################################################################S로 바꿀 수 있습니다.다시 말씀드리지만 API는 구조화되어 있기 때문에 어떤 명령을 허용할지 문자열의 어디에서든 쉽게 추측할 수 있습니다.
OWASP는 신규 웹 사용자가 가입할 수 있는 고정 시스템 시스템 취약성에 대한 정보입니다.아마도 다음과 같은 API GET 호출을 사용할 것입니다.
GET /api/invites/ {초대_가이드}
악의적인 사용자는 사용자의 역할과 초대에 대한 세부 정보가 포함된 JSON을 받게 됩니다.그러면 사용자는 API 다음 호출을 사용하여 GET을 POST로 변경하고 초대를 사용자에서 관리자로 승격할 수 있습니다.
POST /api/초대/새로 만들기
{"이메일”:” shadyguy@targetedsystem.com “, “역할”: “관리자”}
관리자만 게시글을 남길 수 있지만, 제대로 보호되지 않으면 API는 이를 받아들이는 것이 합법적인 방법입니다.이 악의적인 사람은 새 관리자로 시스템에 참여하도록 초대합니다.그 뒤에는 적법한 사람이 볼 수 있는 것을 보고 할 수 있는 모든 것을 할 수 있습니다.
기능 수준 액세스 제어 취약성 제거
공격자가 구조화된 API 내에서 보호되지 않는 이미지를 얻을 수 있습니다.
역할 기반 인증 방법을 사용하여 비즈니스 수준 기능을 보호해야 합니다.대부분의 프레임워크는 이를 위한 중앙 집중식 루틴을 제공합니다.선택한 프레임워크는 그렇지 않습니다.
##2 #6 #리소스 수준 #0 #0 #0 #을 부여하고 그 이상은 부여하지 않는 점을 염두에 둘 수 있습니다. API나 다른 것을 코딩할 때 항상 그렇듯이 최소 권한 연습을 할 수 있는 방법:하세.오늘의 환경을 보호합니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로부터 온 피해로부터 온 조직과 고객을 위한 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 보기 시큐어 코드 워리어 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
