(위협요소)
Gartner는 2024년까지 API 남용 및 관련 데이터 침해가 거의 두 배로 증가할 것으로 예측하였으며, 2025년까지 기업의 API의 50%가 관리되지 않은 상태로 있을 것으로 진단
○ 이러한 사고들은 미흡한 API 사용데이터 권한 검사, API 접근 권한 관리, API 사용 제한 및 API 설계로 인해 발생
(보안 취약점)
1) Broken Object Level Authorization : 객체 식별자* 를 제어하는 값이 API 종단에 노출되어 발생
2) Broken Authentication : 잘못 구현된 인증 메커니즘의 취약점
3) Broken Object Property Level Authorization : 접근 권한 검증의 부적절한 구현 및 부재
4) Unrestricted Resource Consumption: 과다한 API 요청을 허용
5) Broken Function Level Authorization: 관리자 및 사용자 리소스에 대한 복잡한 접근 제어 정책 운영* 으로 발생하는 API 이용 수준 검사의 부재 또는 미흡
6) Server Side Request Forgery: 원격 리소스가 사용자가 제공한 URI에 대한 유효성을 검증하지 않고 예상치 못한 대상으로 조작된 요청을 전송
7) Security Misconfiguration: 패치되지 않은 결함, 안전하지 않은 디폴트 서비스 구성, 보호되지 않는 파일 및 디렉토리 접근 등 보안 구성 오류를 이용
8) Unsafe Consumption of APIs: 개발자의 맹목적인 타사 제공 API의 신뢰로 인해 발생하는 애플리케이션 구현상의 문제
(취약점 경로)
(위협 분석)
https://charstring.tistory.com/1100
'03.Security' 카테고리의 다른 글
디지털 저작권 관리 기술 - DRM (Digital Right Management) (0) | 2024.04.08 |
---|---|
디지털 저작권 관리 기술 (0) | 2024.04.08 |
개인정보 - 비식별 - 검색 가능 암호화 - 완전동형암호(Fully HomomorphicEncryption) (0) | 2024.04.05 |
개인정보 - 비식별 - 검색 가능 암호화 - 동형 암호 (1) | 2024.04.05 |
정보보안 - 정보보호 준비도 / 정보보호 공시제도 (0) | 2024.03.27 |