Jun 09, 2023
종말 피하기: 좀비 API 찾기 가이드
홈 » Security Bloggers Network » 종말 피하기: 발견을 위한 가이드
홈 » 보안 블로거 네트워크 » 종말 피하기: 좀비 API 찾기 가이드
Noname Security의 최근 보고서에서 이 통계를 고려해보세요. 이상87% 응답자 중 오래되었거나 불필요한 API의 보안 위험에 대해 우려하고 있습니다. API 해킹 세계에서는 이를 다음과 같이 부릅니다.좀비 API.
내가 말하는 API 엔드포인트의 유형을 알고 계실 것입니다. 더 이상 유지 관리되지 않지만 "역호환성"을 위해 여전히 존재하는 잊혀진 API입니다. 이러한 API는 오래되고 신뢰할 수 없으며 해킹에 취약할 수 있습니다. 이를 사용하는 모든 응용 프로그램에 대한 잠재적인 보안 위험.
이는 매우 중요한 취약점 클래스입니다. 다음과 같이 착륙합니다.#92023 OWASP API 보안 상위 10대 목록에 API9:2023 부적절한 재고 관리로 선정되었습니다.
나쁜 코드가 당신과 당신을 언데드에 합류시키기 전에 그것에 대해 이야기합시다. (신음…. 그래, 그거 꽤 나쁜 좀비 농담이야 )
이러한 무시된 API는 취약점과 보안 허점의 금광이 될 수 있으므로 좀비 API를 찾는 것은 우리에게 매우 중요합니다. 우리는 이러한 취약점을 악용하여 데이터에 무단으로 액세스하고, 최신 버전에 추가된 보안 제어를 우회하고, 지속적인 패치가 유지 관리되지 않을 때 전체 시스템을 손상시킬 수도 있습니다.
API는 시간이 지남에 따라 더 취약해지는 경향이 있습니다. 이것이 바로 API 보안 모범 사례에서 항상 이전 버전의 종료 및 비활성화에 대해 이야기하는 이유입니다.
그러나 위험을 관리하는 보안 팀은 API의 무분별한 확산으로 인해 노출된 API를 항상 인식하는 것은 아닙니다. 그리고 3분의 1 이상(35%)의 조직은 매일 API에 대한 업데이트를 릴리스하고 있으며,40%매주 수행하면 보안 관점에서 모든 API 트래픽을 추적하는 것이 훨씬 더 어려워집니다.
Noname Security의 연구에서 또 다른 주요 결과는 다음과 같습니다. 기존 앱의 클라우드 마이그레이션과 새로운 비즈니스 가치를 제공하는 SaaS 기반 서비스의 채택을 통해 향후 2년 이내에 조사 대상 조직의 50% 이상이 모든 앱에 활성 API를 배포하게 될 것으로 예상됩니다.
요즘 개발자들에게 점점 더 널리 퍼지고 있는 API 우선 앱 아키텍처와 결합하여, 신속한 API 생산은 의심할 여지없이 더 많은 API 확산과 더 취약한 API의 위험으로 이어질 것입니다.
엄격한 API 거버넌스 전략은 이러한 위험을 완화하는 데 도움이 될 수 있지만 앱 팀이 타사 API를 사용하는 동시에 보안 팀이 보유하지 않을 수 있는 내부 및 외부 시스템에 데이터를 연결하는 경우 API의 무분별한 확장을 관리하기가 어렵다는 것이 현실입니다. 가시성.
조직 내에서 좀비 API를 식별하려는 경우 취할 수 있는 몇 가지 단계가 있습니다.
첫 번째 단계는 대상 조직에서 사용되는 모든 API의 인벤토리를 생성하는 것입니다. 여기에는 내부 API와 외부 API가 모두 포함됩니다. 이는 API 사용 범위를 이해하고 존재할 수 있는 잠재적인 좀비를 식별하는 데 도움이 됩니다. 정찰 중에 API 검색 도구가 도움이 될 수 있습니다.
API 인벤토리가 확보되면 사용량 분석을 시작할 수 있습니다. 여기에는 각 API에 대한 요청 수, 요청하는 사람, 해당 API가 사용되는 방식을 살펴보는 작업이 포함됩니다. 이를 통해 더 이상 사용되지 않거나 레거시 시스템에서만 사용되는 API를 식별할 수 있습니다. 블랙박스 테스트로 제한되어 있다면 이는 훨씬 더 어렵습니다. 그러나 API 게이트웨이 트래픽 데이터에 액세스할 수 있는 경우 일반적으로 이를 구문 분석할 수 있습니다.
대상 API에 버전 관리가 있는지 확인하는 것이 중요합니다. 버전 관리를 통해 이전 버전의 API 엔드포인트와의 호환성을 지원할 수 있습니다. 이는 또한 이전 버전이 더 이상 유지 관리되지 않고 취약할 수 있음을 의미합니다. URL 경로, 쿠키, 액세스 토큰의 클레임, 사용자 정의 HTTP 헤더, HTTP 요청 매개변수와 같은 메타데이터에서 명확한 버전 관리 아티팩트를 확인하세요. 오래된 버전의 API를 발견하면 먼저 공격 위협을 고려해야 합니다.
API는 종종 무시되고 유지 관리되지 않습니다. 방치의 징후에는 오래된 문서, 업데이트 부족, 지원 또는 연락처 정보 없음 등이 포함됩니다. 이러한 표시가 있는 API를 발견하면 좀비일 수 있습니다. 이전 프레임워크와 서비스를 노출할 수 있는 메타데이터에 특별한 주의를 기울이세요. 취약할 수 있는 매우 오래된 컨테이너 이미지에서 실행되는 이전 API 버전을 우연히 발견하는 것은 드문 일이 아닙니다.