25G.story

OWASPOWASP 웹 애플리케이션 보안을 목표로 무료 콘텐츠와 도구를 만드는 비영리 재단. 가장 일반적인 API취약점 10가지를 정리하여 발표했다.정보 누출API응답, 코드 저장소, 검색 결과, 소셜 미디어, 대상의 웹사이트, 공개 API 디렉터리 같은 공개된 소스를 통해 누출될 수 있다.불필요하게 자세한 응답메시지"제공된 사용자 ID가 존재하지 않습니다"라는 메시지를 통해 다른 ID를 넣어서 계속 시도를 했는데 만약 "잘못된 비밀번호입니다"라는 메시지가 나왔다면? 아! 이 메시지를 뱉으면 ID는 있는데 비밀번호만 찾으면 되겠네?! 하는 힌트를 주게된다.API응답시 사용자 이름을 반환하여 공격자가 응답을 통해 취한 사용자 이름으로 무차별 비밀번호 대입, 비밀번호 스프레이등으로 로그인시도BOLABOLA(..

API 보안테스트 범위를 정하기 위해서는 방법론, 테스트 규모, 대상 기능, 테스트 제한, 보고서 작성 요건, 개선 테스트 진행 여부같은 몇 가지 요인을 결정해야한다.API 침투 순서1. 권한 받기API 공격하기 전 공격범위를 명확히 정하고 정해진 시간동안 클라이언트를 공격해도 된다는 권한 부여 계약서에 서명을 받아야한다. 즉 해커가 아닌 보안태스트를 위한 침투계획에는 명확히 대표혹은 챔임자와 상의하에 권한을 부여받고 어떤일이 벌어질지 어떻게 침투할지에 대한 조율 및 협의가 이루어져야한다.2. API 테스트의 위협 모델링위협 모델링은 API 공급자에 대한 위협을 모델화하는 프로세스입니다. 관련된 위협을 기반으로 API 침투 테스트모델을 만들어 해당 공격에 대응책을 마련할 수 있도록 위협들을 모델링하는것이..