한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
2023년 업데이트된 OWASP API 보안 상위 10개 공개
홈 » 보안 블로거 네트워크 » 2023년 업데이트된 OWASP API 보안 상위 10개가 여기에 있습니다
OWASP(Open Web Application Security Project)는 소프트웨어 보안 개선에 전념하는 글로벌 비영리 조직입니다. OWASP 재단은 2019년에 API가 직면한 상위 10가지 보안 위험 목록을 처음으로 발표했습니다. 릴리스 후보에 대해 몇 달 간의 건전한 토론을 거쳐 이제 2023년에 대한 최종 업데이트 목록을 갖게 되었습니다. (https://owasp.org/ API-보안/에디션/2023/en/0x11-t10/)
컴퓨팅에 있어서 4년은 매우 긴 시간이지만, 대부분의 조직이 여전히 2019년 상위 10대 항목으로부터 보호하기 위해 더 나은 API 보안 제어를 적용하는 과정에 있다는 사실은 여전히 남아 있습니다. 또한 목록에는 10개의 범주가 포함되어 있다는 점을 기억하십시오. 각 범주에는 여러 취약점이 포함되어 있습니다.
목록을 비교해 보면 2023년 RC 버전이 2019년 버전과 상당히 유사하고 최종 버전도 크게 변경되지 않은 것은 놀라운 일이 아닙니다. 1위는 동일하게 유지되지만 목록의 나머지 부분에는 새로운 언어, 새로운 카테고리가 포함되어 있으며 여전히 2019 버전에 있는 항목이 섞여 있습니다.
API1:2019 깨진 개체 수준 권한 부여
API1:2023RC 깨진 개체 수준 권한 부여
API1:2023 – 손상된 개체 수준 권한 부여
API2:2019 깨진 사용자 인증
API2:2023RC 깨진 인증
API2:2023 – 손상된 인증
API3:2019 과도한 데이터 노출
API3:2023RC 깨진 개체 속성 수준 권한 부여
API3:2023 – 손상된 개체 속성 수준 권한 부여
API4:2019 리소스 부족 및 속도 제한
API4:2023RC 무제한 리소스 소비
API4:2023 – 무제한 리소스 소비
API5:2019 깨진 기능 수준 인증
API5:2023RC 깨진 기능 수준 인증
API5:2023 – 손상된 기능 수준 인증
API6:2019 대량 할당
API6:2023RC 서버측 요청 위조
API6:2023 – 민감한 비즈니스 흐름에 대한 무제한 액세스
API7:2019 보안 구성 오류
API7:2023RC 보안 구성 오류
API7:2023 – 서버 측 요청 위조
API8:2019 주입
API8:2023RC 자동화된 위협으로부터 보호 부족
API8:2023 – 잘못된 보안 구성
API9:2019 부적절한 자산관리
API9:2023RC 부적절한 자산 관리
API9:2023 – 부적절한 재고 관리
API10:2019 불충분한 로깅 및 모니터링
API10:2023RC API의 안전하지 않은 소비
API10:2023 – API의 안전하지 않은 소비
2019 버전과 마찬가지로 2023 릴리스 후보는 BOLA(인증 구현을 오용하는 비즈니스 논리 기반 공격)가 현재와 가까운 미래에도 API의 가장 큰 위험 범주로 남아 있다는 점을 여전히 확고히 유지하고 있습니다.
API는 잠재적으로 많은 사용자에게 서비스를 제공하고 여러 데이터, 즉 민감한 데이터에 대한 액세스를 제공합니다. 이러한 다양한 사용자와 사용자 유형은 비즈니스 요구 사항에 따라 자연스럽게 다양한 데이터 액세스 정책을 갖습니다. API 설계 및 개발 관점에서 이러한 세분화된 권한 부여 정책을 올바르게 시행하는 API를 구축하는 것은 여전히 어려운 일입니다. 우리는 고객이 Active Testing 솔루션을 사용하여 코드를 테스트하면서 이를 매일 목격합니다.
또한 새 목록은 API3:2023RC BOPLA(Broken Object Property Level Authorization) 아래의 두 가지 기존 범주를 통합합니다. 2019년 목록에서는 다음과 같이 구분되었습니다.
BOPLA 취약점은 사용자가 액세스하려는 특정 개체 속성에 대한 액세스 권한이 있는지 확인하지 않고 API 끝점을 사용하여 개체에 액세스하도록 허용할 때 명백하게 나타납니다.
2023년 목록에 새로 추가되었으며 기존 OWASP Top 10 2021에서 다소 차용한 것은 API6:2023RC 서버 측 요청 위조(https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/)입니다.
서버 측 요청 위조(SSRF) 결함은 API가 사용자가 제공한 URL의 유효성을 검사하지 않고 원격 리소스를 가져올 때마다 발생합니다. 이를 통해 공격자는 방화벽이나 VPN으로 보호되는 경우에도 응용 프로그램이 예상치 못한 대상으로 조작된 요청을 보내도록 강제할 수 있습니다. Webhooks, URL에서 파일 가져오기, 사용자 지정 SSO, URL 미리 보기와 같은 최신 개념을 사용하면 개발자가 사용자 입력을 기반으로 외부 리소스에 액세스하도록 장려하여 잠재적인 위험을 높입니다. 또한 마이크로서비스 기반 아키텍처와 같은 개념은 잘 알려진 경로를 사용하여 HTTP를 통해 제어/관리 평면 요소를 노출하므로 더 쉬운 대상이 됩니다.