OWASP API 보안 상위 10가지 이해: BOLA가 API의 가장 큰 위험인 이유

​

OWASP API 보안 상위 10가지 이해:

BOLA가 API의 가장 큰 위험인 이유

취약점을 이해하고 해결하는 것은 API가 원활한 데이터 교환을 위한 중추 역할을 하는 사이버 보안에서 매우 중요합니다.

2023년에 개정된 OWASP API 보안 Top 10은 API의 강력한 보안을 보장하기 위해 조직이 해결해야 하는 중요한 문제에 대한 포괄적인 가이드를 제공합니다. 강조된 취약점 중 BOLA(Broken Object Level Authorization)는 보안 팀의 최우선 과제이자 주요 과제로 두드러집니다.

​

OWASP API 보안 Top 10

​

• BOLA(Broken Object Level Authorization) : IDOR(Insecure Direct Object Reference)라고도 하는 BOLA는 엔드포인트를 통해 객체 식별자를 노출하는 API에서 발생하여 중요한 객체 수준 액세스 제어 문제가 발생합니다.

• 손상된 인증: 인증 메커니즘의 취약성으로 인해 무단 액세스가 발생할 수 있습니다.

• 손상된 개체 속성 수준 인증: 과도한 데이터 노출 및 대량 할당의 위험을 결합하면 이 취약성은 API 개체의 속성 수준에서 위협이 됩니다.

• 무제한 리소스 사용: API와 관련된 위험으로 인해 리소스 사용에 적절한 제한이 가해지지 않아 잠재적인 공격이 발생할 수 있습니다.

• 고장 난 기능 수준 권한 부여: 기능 수준에서 부적절한 권한 검사로 인해 기능에 무단으로 액세스할 수 있게 되는 것과 관련된 문제입니다.

• 민감한 비즈니스 흐름에 대한 무제한 액세스: 중요한 비즈니스 프로세스 및 흐름에 무단으로 액세스할 수 있는 취약성.

• 서버 측 요청 위조: 공격자가 서버의 리소스에 액세스하기 위해 요청을 조작할 위험이 있습니다.

• 보안 잘못된 구성: API를 잠재적인 공격에 노출시키는 잘못된 보안 설정으로 인해 발생하는 문제입니다.

• 부적절한 인벤토리 관리 : API 자산의 부적절한 추적 및 관리와 관련된 문제.

• API의 안전하지 않은 사용: API의 부적절한 활용 및 처리와 관련된 위험으로 인해 잠재적인 취약성이 발생합니다.

​

BOLA에 대해 자세히 알아보기

​

BOLA는 응용 프로그램 또는 응용 프로그램 프로그래밍 인터페이스(API)가 사용자의 역할에 따라 데이터 개체에 대한 액세스를 제공하지만 사용자가 특정 데이터 개체에 액세스할 수 있는 권한이 있는지 확인하지 못할 때 발생하는 보안 취약점입니다. BOLA는 응용 프로그램 보안의 주요 관심사인 더 큰 권한 부여 결함 제품군의 일부를 형성합니다.

​

2024년 API 보안 상태 보고서에 따르면 조직에는 평균 1.6개의 API 엔드포인트가 BOLA 남용의 위험에 있다고 합니다. 이 숫자는 상대적으로 낮게 보일 수 있지만 위험의 심각성은 높습니다. BOLA 취약성을 해결하지 못하면 무단 액세스, 침해 및 중요 기능의 오용으로 이어질 수 있습니다.

​

BOLA 예방 및 완화 전략

​

1. 적절한 접근 제어를 구현하여 사용자가 액세스할 수 있는 개체만 액세스할 수 있도록 합니다.

2. 사용자가 요청된 개체에 액세스할 수 있는 권한이 있는 경우 매핑을 사용하여 추적

3. 견고한 인증 및 세션 관리를 적용하여 사용자를 검증하고 세션이 적절하게 관리되는지 확인합니다.

​

보안 팀은 지속적인 API 위험 평가와 강력한 모니터링을 통해 BOLA 남용 위험을 줄일 수 있습니다. 이러한 조치는 API 사용을 추적하고 이상 징후를 감지하며 잠재적인 무단 액세스를 식별하는 데 중요한 역할을 합니다. 보안 팀은 API 상호 작용을 면밀히 모니터링하여 필요한 보안 조치를 적용하여 무단 액세스를 방지하고 중요한 리소스를 확보할 수 있습니다.

​

결론적으로, 조직이 API 보안의 복잡한 환경을 탐색할 때 OWASP API 보안 Top 10에 명시된 문제를 이해하고 해결하는 것이 중요합니다. 볼라의 개념은 매우 간단하지만 오래 지속되는 결과를 가져올 수 있습니다. 볼라는 OWASP API 보안의 2023년 상위 10개 위험 목록에서 1위를 차지하는 광범위한 특성과 용이한 활용으로 인해 가능합니다.

​

Imperva API Security 제품 페이지를 방문하여 당사 제품이 OWASP API Security Top 10으로부터 보호하는 방법에 대해 알아보십시오.

​

Imperva API 보안 제품 알아보기

​

탈레스에 문의하기

​

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.