API - 보안 위협

전자금융과 금융보안 제35호, API 보안 위협 및 대응방안 2024.03

 

전자금융과 금융보안 제35호, API 보안 위협 및 대응방안 2024.03

 

(위협요소)

Gartner는 2024년까지 API 남용 및 관련 데이터 침해가 거의 두 배로 증가할 것으로 예측하였으며, 2025년까지 기업의 API의 50%가 관리되지 않은 상태로 있을 것으로 진단

○ 이러한 사고들은 미흡한 API 사용데이터 권한 검사, API 접근 권한 관리, API 사용 제한 및 API 설계로 인해 발생

 

(보안 취약점)

1) Broken Object Level Authorization : 객체 식별자* 를 제어하는 값이 API 종단에 노출되어 발생

2) Broken Authentication : 잘못 구현된 인증 메커니즘의 취약점

3) Broken Object Property Level Authorization : 접근 권한 검증의 부적절한 구현 및 부재

4) Unrestricted Resource Consumption: 과다한 API 요청을 허용

5) Broken Function Level Authorization: 관리자 및 사용자 리소스에 대한 복잡한 접근 제어 정책 운영* 으로 발생하는 API 이용 수준 검사의 부재 또는 미흡

6) Server Side Request Forgery: 원격 리소스가 사용자가 제공한 URI에 대한 유효성을 검증하지 않고 예상치 못한 대상으로 조작된 요청을 전송

7) Security Misconfiguration: 패치되지 않은 결함, 안전하지 않은 디폴트 서비스 구성, 보호되지 않는 파일 및 디렉토리 접근 등 보안 구성 오류를 이용

8) Unsafe Consumption of APIs: 개발자의 맹목적인 타사 제공 API의 신뢰로 인해 발생하는 애플리케이션 구현상의 문제

 

(취약점 경로)

전자금융과 금융보안 제35호, API 보안 위협 및 대응방안 2024.03

 

(위협 분석)

 

 

 

https://charstring.tistory.com/1100

API(Application Programming Interface)