(위협요소)
Gartner는 2024년까지 API 남용 및 관련 데이터 침해가 거의 두 배로 증가할 것으로 예측하였으며, 2025년까지 기업의 API의 50%가 관리되지 않은 상태로 있을 것으로 진단
○ 이러한 사고들은 미흡한 API 사용데이터 권한 검사, API 접근 권한 관리, API 사용 제한 및 API 설계로 인해 발생
(보안 취약점)
1) Broken Object Level Authorization : 객체 식별자* 를 제어하는 값이 API 종단에 노출되어 발생
2) Broken Authentication : 잘못 구현된 인증 메커니즘의 취약점
3) Broken Object Property Level Authorization : 접근 권한 검증의 부적절한 구현 및 부재
4) Unrestricted Resource Consumption: 과다한 API 요청을 허용
5) Broken Function Level Authorization: 관리자 및 사용자 리소스에 대한 복잡한 접근 제어 정책 운영* 으로 발생하는 API 이용 수준 검사의 부재 또는 미흡
6) Server Side Request Forgery: 원격 리소스가 사용자가 제공한 URI에 대한 유효성을 검증하지 않고 예상치 못한 대상으로 조작된 요청을 전송
7) Security Misconfiguration: 패치되지 않은 결함, 안전하지 않은 디폴트 서비스 구성, 보호되지 않는 파일 및 디렉토리 접근 등 보안 구성 오류를 이용
8) Unsafe Consumption of APIs: 개발자의 맹목적인 타사 제공 API의 신뢰로 인해 발생하는 애플리케이션 구현상의 문제
(취약점 경로)
(위협 분석)
https://charstring.tistory.com/1100
API(Application Programming Interface)
(개념) 상호 간의 정의된 통신 프로토콜에 따라 기능을 요청하고 정보를 수집하여 처리하는 통신 메커니즘 (유형) (특징) 표준화된 인터페이스 제공을 통해 누구나 동일한 접근으로 기능을 사용
charstring.tistory.com
'03.Security' 카테고리의 다른 글
| 디지털 저작권 관리 기술 - DRM (Digital Right Management) (0) | 2024.04.08 |
|---|---|
| 디지털 저작권 관리 기술 (0) | 2024.04.08 |
| 개인정보 - 비식별 - 검색 가능 암호화 - 완전동형암호(Fully HomomorphicEncryption) (0) | 2024.04.05 |
| 개인정보 - 비식별 - 검색 가능 암호화 - 동형 암호 (1) | 2024.04.05 |
| 정보보안 - 정보보호 준비도 / 정보보호 공시제도 (0) | 2024.03.27 |
