Jun 04, 2023
OWASP의 2023년 API 보안 상위 10대 API 위험에 대한 관점 개선
2023년 주요 API 보안 위험에 대한 OWASP의 순위가 발표되었습니다. 그만큼
2023년 주요 API 보안 위험에 대한 OWASP의 순위가 발표되었습니다. 이 목록에는 2019년 목록과 많은 유사점, 일부 재구성/재정의 및 일부 새로운 개념이 포함되어 있습니다.
에 의해
플립보드
레딧
핀터레스트
왓츠앱
왓츠앱
이메일
2023년 주요 API 보안 위험에 대한 OWASP의 순위가 발표되었습니다. 이 목록에는 2019년 목록과 많은 유사점, 일부 재구성/재정의 및 일부 새로운 개념이 포함되어 있습니다.
다음은 2023년 OWASP 상위 10개 API 보안 위험 및 2019 버전과의 비교입니다.
위협이나 위험은 몇 년이 지나도 크게 변하지 않습니다. 그러나 그것들은 진화하고, 그것들에 대한 우리의 이해도 똑같이 진화합니다. 이는 새로운 목록이 아니라 기존 목록을 개선한 2023년 목록에서 입증됩니다.
OWASP 목록은 공동 작업입니다. 그 가치를 의심하는 사람은 아무도 없지만 모든 사람, 심지어 관련된 사람조차 모든 세부 사항에 동의하는 것은 아닙니다. API3에서 과도한 데이터 노출을 제거하세요.
"이것은 우리가 민감한 데이터 노출을 해결했다는 의미입니까?" Cequence Security의 Jason Kent가 묻습니다. "아니요, 민감한 데이터 노출은 큰 문제입니다. API 3의 2023 버전에서는 누군가 민감한 데이터 노출을 다음 단계로 진행하고 속성 수준 인증을 돌파하는 예를 볼 수 있습니다. 많은 사람들이 있기 때문에 직접적인 대체는 아닙니다. 목록에 있는 항목 중 민감정보 노출 여부에 따라 달라지는 항목이 있는데, 이렇게 표현하는 게 맞는 걸까요? 그렇지 않은 것 같은데, 의견이 다양한 예입니다."
동시에 그는 근본적으로 동일한 위험이 있는 API6의 이름 변경을 칭찬합니다. 나열된 예는 기본적으로 동일합니다. 둘 다 차량 공유 앱용이고 둘 다 백엔드에서 무언가를 활용합니다. "2023년 이름이 모호하고 혼란스럽기보다는 수정이 필요한 것처럼 보이게 만드는 미묘한 뭔가가 있습니다. 또한 제대로 작동하지 않는 API 보안이 어떻게 공격 자동화로 이어지는지에 대한 우리의 조사 결과를 보여줍니다. 이에 맞서 활용했습니다."
항목별로 정렬된 위험 목록을 작성할 때의 주요 문제점은 위험의 사슬입니다. 침해는 피해자가 잊어버린 API(API9)에서 시작되는 경우가 많습니다. 이는 공격자가 결함을 가능한 한 멀리 그리고 빠르게 악용하는 봇을 만들도록 유도하는 민감한 사용자 데이터(API1)를 제공할 수 있습니다(API6에 접근).
Kent는 "새로운 API Top 10은 완벽하지 않을 수도 있습니다. 그러나 우리가 수년 동안 알고 있던 내용을 정확히 보여줍니다. API 보안 환경이 변화하고 있으며 조직은 그에 맞춰 변화해야 합니다."라고 Kent는 결론지었습니다. API의 위치를 파악하고, 결함이 있는지 테스트하고, 알 수 없는 흐름을 공격하는 봇을 완화하려면 API 보안이 모든 사람의 초점이 되어야 하며, 이 새로운 목록은 시작하기에 좋은 장소입니다."
관련된: 세 가지 새로운 카테고리로 업데이트된 OWASP 상위 10개
관련된: 2017 OWASP Top 10 최종 버전 출시
관련된: OWASP, 2017년 상위 10대 취약점에 대한 새로운 취약점 제안
Kevin Townsend는 SecurityWeek의 선임 기고자입니다. 그는 마이크로소프트가 탄생하기 전부터 첨단 기술 문제에 관해 글을 써왔습니다. 지난 15년 동안 그는 정보 보안을 전문으로 해왔습니다. The Times와 Financial Times부터 현재 및 오래 전에 사라진 컴퓨터 잡지에 이르기까지 수십 개의 다양한 잡지에 수천 개의 기사가 게재되었습니다.
SecurityWeek 이메일 브리핑을 구독하여 업계 전문가의 통찰력 있는 칼럼과 함께 최신 위협, 동향, 기술에 대한 정보를 받아보세요.
SecurityWeek의 위협 탐지 및 사고 대응 서밋에서는 전 세계 보안 실무자들이 한자리에 모여 침해, APT 공격 및 위협 인텔리전스에 대한 전쟁 이야기를 공유합니다.
Securityweek의 CISO 포럼에서는 오늘날의 보안 리더들이 가장 중요하게 생각하는 문제와 과제, 그리고 기업의 최고 방어자로서 미래가 어떤 모습일지 다룰 것입니다.
방향을 유지하고 전략적 목표를 고수함으로써 보안 전문가는 조직의 보안 상태를 꾸준하고 지속적으로 개선할 수 있습니다.(Joshua Goldfarb)