| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- javascript
- ES6
- 자바스크립트
- 깃허브
- Oracle SQL
- 보안뉴스 요약
- 보안뉴스요약
- php
- 랜섬웨어
- python
- oracle db
- 카카오프로젝트100
- 자바스크립트 element api
- numpy
- 파이썬
- 보안뉴스 한줄요약
- 자바스크립트 node
- GIT
- 오라클
- oracle
- 자바스크립트 API
- 자바스크립트 기본 문법
- 자바스크립트 prototype
- 자바스크립트 jQuery
- 보안뉴스한줄요약
- 카카오프로젝트
- 보안뉴스
- 카카오프로젝트 100
- 다크웹
- 자바스크립트 객체
- Today
- Total
FU11M00N
[보안뉴스 요약]해커들이 좋아하는 API 공격 방법 4가지 본문
1. 코드 주입
특정한 상황에서 인증 정보가 없이도 로그인이 되도록 한다거나, 추가 멀웨어를 심는 게 ‘코드가 주입된 API’를 통해 가능해짐.
API에 코드가 주입되었는지 아닌지를 확인하려면 여러 가지 ‘수동 점검’을 진행해야함.
2. 리플레이 요청 공격
첫 번째 악성 요청이 거부되더라도 공격자는 얼마든지 그 다음 요청을 전송할 수 있게 됨. 그래서 해커들이 선호함.
대응방안으로는 HMAC 인증을 활용해 요청 시도 제한 규정을 적용해야 함.
3. 요청 조작 공격
인증이 된 웹 애플리케이션(API와 같은)을 해커가 활용해 이메일 주소를 변경하거나 은행 계좌로부터 돈을 보내는 등의 결과를 이끌어 내는 공격
4. 사용자 인증 파괴
API 개발자들이 항상 인증 시스템에 철저하게 신경을 쓰는것이 아니기 때문에 만약 API가 해커들의 손에 들어가면 해커는 인증된 사용자 인 것처럼 스스로를 위장시키고 각종 행위를 할 수있음.
취약점을 통한 공격을 방어하려면 타임스탬프 요청을 활용하는 것이 도움이 됨.
https://www.boannews.com/media/view.asp?idx=92617&kind=1&search=title&find=%C7%D8%C4%BF%B5%E9%C0%CC
해커들이 좋아하는 API 공격 방법 4가지
애플리케이션 프로그래밍 인터페이스(API)는 요즘과 같은 IT 기술 공유 시대에 필수적인 요소로 자리를 잡았다. API를 공유한다는 건 개발자나 웹사이트 소유자들에게 기존 애플리케이션의 소스
www.boannews.com
'보안뉴스 읽기' 카테고리의 다른 글
| [보안뉴스 요약] 다크사이드 랜섬웨어 운영자, 이란에 분산 서버 마련하겠다고 공표 (0) | 2020.11.18 |
|---|---|
| [보안뉴스 요약] SK인포섹 “면접 준비는 소개팅 준비처럼 철저하게” (0) | 2020.11.18 |
| [보안뉴스 요약]메이즈 랜섬웨어의 은퇴 기념 트롤링? 자체 웹 사이트에 유출자료 공개 (0) | 2020.11.15 |
| [보안뉴스 요약] 구글 크롬, 또 다시 제로데이 취약점 두 개 패치해 (0) | 2020.11.14 |
| [보안뉴스 요약] 새로운 랜섬웨어 강자 후보? 페이투키에 주의하라 (0) | 2020.11.14 |
