API 보안과 파이오링크 WAAP / 2023 OWASP Security API top 10

안녕하세요,

네트워크·보안 전문 기업 파이오링크입니다😄

​

OWASP(Open Web Application Security Project)는 안전한 웹 환경 조성을 위해

웹 애플리케이션에 대한 취약점을 분석하여 보안을 증진시키는 비영리 단체로

OWASP Security Top10이라는 웹 10대 취약점을 발표하고 있습니다.

​

그런데, 이런 OWASP가 2019부터 기존 웹 취약점과는 별도로

OWASP API Security Top10라는 API 10대 취약점을 발표하였고

2023년 다시 한번 최신화된 OWASP API Security Top10 2023을 발표하였습니다!

​

파이오링크 WAAP 대응 전략은 무엇인지

정리해 보았습니다📒

 

---

2023 OWASP API TOP 10 분석

 

OWASP API 2019 TOP 10		OWASP API 2023 TOP 10					비교 결과
A01	Broken Object Level Authorization (손상된 개체 수준 인증)	A01	손상된 개체 수준 인증 (Broken Object Level Authorization)				같음
A02	취약한 사용자 인증 (Broken User Authentication)	A02	취약한 인증 (Broken Authentication)				같음, 네이밍 업데이트
A03	과다한 데이터 노출 (Excessive Data Exposure)	A03	손상된 개체 속성 수준 권한 부여 (Broken Object Property Level Authorization)				A6->A3, 네이밍 업데이트
A04	리소스 부족 및 속도 제한 (Lack of Resources&Rate Limiting)	A04	무제한 자원 소비 (Unrestrictd Resource Consumption)				같음, 네이밍 업데이트
A05	손상된 기능 수준 인증 (Broken Function Level Authorization)	A05	손상된 기능 수준 인증 (Broken Function Level Authorization)				같음
A06	대량 할당 (Mass Assignment)	A06	민감한 비즈니스 흐름에 대한 제한 없는 엑세스 (Unrestricted Access to Sensitive Business Flows)				신규
A07	보안 오류 구성 (Security Misconfiguration)	A07	서버 사이드 요청 변조 (Server Side Request Forgery)				신규
A08	인젝션 (Injection)	A08	보안 오류 구성 (Security Misconfiguration)				A7->A8
A09	부적절한 자산 관리 (Improper Assets Management)	A09	부적절한 재고 관리 (Improper Inventory Management)				같음, 네이밍 업데이트
A10	로깅 및 모니터링 부족 (Insufficient Logging&Monitoring)	A10	안전하지 않은 API 사용 (Unsafe Consumption of APIs)				신규

A06, A07, A10이 신규로 추가되었고

나머지는 같거나 이름이 바뀌었습니다.

​

​이번 10대 취약점이 지난 발표의 취약점보다

조금 더 특별한 점은

OWASP 취약점 최초로 실제 보안담당자들에게 데이터를 요청하여

그 데이트들을 바탕으로

작성되었다는 점 인데요,

​

즉, 이론적인 취약점들 보다는

실제 실무 환경에서 확인되는 취약점이 반영되었다는 것 입니다.🧑‍💻

​

아래는 2023년에 발표한 OWASP API Security TOP10에 관한 설명입니다.

WEBFRONT-K/KS는 핵심기술 6가지와 기존의 WAF의 기능을 통하여

OWASP API 10대 취약점에 대응이 가능합니다.

​

​

A1: 손상된 개체 수준 인증 (Broken Object Level Authorization)

설명 : 사용자가 API 개체에 접근할 때 부여된 권한에 따라 유효성 체크가 이뤄지고 응답이 발생해야 합니다.

​

A2: 취약한 인증 ( Broken Authentication )

설명 : API가 자격 증명 스터핑을 허용하는 경우 또는 자격 증명에 대해 유효성 검사 매커니즘이 누락되는 경우 발생합니다.

​

A3: 손상된 개체 속성 수준 권한 부여 ( Broken Object Property Level Authorization )

설명 : 사용자가 API 개체를 추가하거나 수정할 때 허용 목록에 기반한 적절한 필터링 없이 민감도가 높은 속성을 수정할 수 있는 경우 발생합니다.

​

A4: 무제한 자원 소비 (Unrestricted Resource Consumption)

설명 : 클라이언트/사용자가 요청할 수 있는 리소스의 크기나 횟수에 제한을 두지 않는 경우 발생합니다.

​

A5: 손상된 기능 수준 인증 ( Broken Function Level Authorization )

설명 : 계층, 그룹, 역할에 따라 서로 다른 권한 정책이 적용되지 않은 경우 발생합니다.

​

A6: 민감한 비즈니스 흐름에 대한 제한없는 액세스 (Unrestricted Access to Sensitive Business Flows )

설명 : 비즈니스 프로세스에서 민감한 부분에 대한 접근제어가 충분하지 않은 경우 발생합니다.

​

A7: 서버 사이드 요청 변조 (Server Side Request Forgery)

설명 : 사용자가 제공한 URL의 유효성을 검사하지 않고 원격 리소스를 가져올 때마다 발생합니다. 이를 통해 공격자는 방화벽, VPN 또는 다른 유형의 네트워크 ACL에 의해 보호되는 경우에도 조작된 요청을 예기치 않은 대상으로 보내도록 강제할 수 있습니다.

​

A8: 보안 오류 구성 ( Security Misconfiguration )

설명 : API 가 지원하지 않는 메소드를 허용하거나 CORS 정책이 잘못 설정 되는 경우등에서 발생합니다.

​

A9: 부적절한 재고 관리 ( Improper Inventory Management )

설명 : 테스트 버전 또는 구 버전의 API가 사용 가능하거나 디버그 API등에 사용자가 접근할 수 있을 때 발생합니다.

​

A10: 안전하지 않은 API 사용 ( Unsafe Consumption of APIs )

설명 : 사용자가 제공한 입력값에 대해 적절하게 유효성 검사를 하지 않거나 민감한 데이터가 필터링 또는 암호화되지 않은 상태로 전송하는 경우 발생합니다.

 

WEBFROTN-K/KS API 보안 기능

 

OWASP에서 지정한 API 보안 위협 10개 항목에 완벽하게 대응하는 파이오링크 WAAP API보안기능 설정 영상입니다💻

파이오링크 WEBFRONT-K/KS는

OWASP API Security TOP 10 취약점 메뉴를 제공,

각 취약점 별 대응 기능들을

매치시켜 제공합니다.

​

아래는 파이오링크에서 정의한 API 보안 핵심 여섯가지 기술입니다.

양방향 TLS(mTLS) : Mutual TLS 기능은 서버↔클라이언트를 상호 인증하여 안전한 API통신을 지원

식별정보 클로킹 : 쉽게 해독이 가능한 식별 정보를 암호화하거나 마스킹하여 식별정보 노출에 의한 위협 대응

API 토큰 인증 및 무결성 검사 : 토큰의 무결성, 만료 여부, 형식 및 클레임 유효성 등을 검사하여 손상된 사용자 인증에 대응

API별 허용 임계치 및 메소드 설정 : URL별 메소드에 대한 임계치를 설정하여 리소스 부족 및 속도 제한 취약점에 대응

JSON 응답 클로킹 : 응답 페이로드에 담기는 민감한 정보를 클로킹하여 과도한 데이터 노출 취약점에 대응

JSON 요청 필드 검사 : JSON 최대 중첩 깊이 설정을 통해 API 오류 및 오작동을 유도하는 공격에 대응

---

OWASP API 취약점,

파이오링크 WEBFRONT-K/KS로 API 보안을 실천해 보세요:)