Notice
Recent Posts
Recent Comments
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- oracle db
- 보안뉴스한줄요약
- 카카오프로젝트
- 자바스크립트
- 오라클
- GIT
- 보안뉴스 요약
- 자바스크립트 node
- oracle
- numpy
- 자바스크립트 API
- 보안뉴스 한줄요약
- 다크웹
- 자바스크립트 객체
- 자바스크립트 element api
- 깃허브
- 자바스크립트 prototype
- 자바스크립트 jQuery
- 랜섬웨어
- javascript
- 파이썬
- 카카오프로젝트 100
- 보안뉴스
- php
- ES6
- 자바스크립트 기본 문법
- 보안뉴스요약
- Oracle SQL
- python
- 카카오프로젝트100
Archives
- Today
- Total
목록CSRF (1)
FU11M00N
[보안뉴스 요약]해커들이 좋아하는 API 공격 방법 4가지
1. 코드 주입 특정한 상황에서 인증 정보가 없이도 로그인이 되도록 한다거나, 추가 멀웨어를 심는 게 ‘코드가 주입된 API’를 통해 가능해짐. API에 코드가 주입되었는지 아닌지를 확인하려면 여러 가지 ‘수동 점검’을 진행해야함. 2. 리플레이 요청 공격 첫 번째 악성 요청이 거부되더라도 공격자는 얼마든지 그 다음 요청을 전송할 수 있게 됨. 그래서 해커들이 선호함. 대응방안으로는 HMAC 인증을 활용해 요청 시도 제한 규정을 적용해야 함. 3. 요청 조작 공격 인증이 된 웹 애플리케이션(API와 같은)을 해커가 활용해 이메일 주소를 변경하거나 은행 계좌로부터 돈을 보내는 등의 결과를 이끌어 내는 공격 4. 사용자 인증 파괴 API 개발자들이 항상 인증 시스템에 철저하게 신경을 쓰는것이 아니기 때문에 ..
보안뉴스 읽기
2020. 11. 16. 23:22