붉은수염의 이바구

API 공격 예시 : BOLA 오늘은 API 공격의 중에서 대표적이며 가장 치명적이 BOLA에 대해서 알아보도록 하겠습니다. Broken Object Level Authorization 줄여서 BOLA라고 하는데요, 우리말로 번역하면 ‘객체 수준 권한 위반’ 정도가 됩니다. 사용자 정당한 인증 절차를 거친 후에라도 객체 수준에서 권한 검사가 제대로 이루어지지 않아 공격자가 인가되지 않은 객체 즉 데이터 등에 접근할 수 있는 취약점을 의미합니다. 은행 앱을 예로 들어서 설명 드려 보도록 하겠습니다. 사용자 벤자민 올리비아가 핸드폰 은행 앱에 접속을 하였습니다. 그리고, 통장 잔액을 조회하려고 한다고 가정해 봅시다. 당연히 자신의 계좌 정보를 잘 가져올 것입니다. 그런데, 벤자민 올리비아가 캐를로트 아멜리아..

들어가는 말 : 여러분의 API는 안전하십니까? 여러분의 API는 안전하십니까? 오늘 제가 여러분에게 드리는 질문입니다. 다들 아시는 바와 같이, 코로나 팬데믹은 우리 생활에 많은 변화를 가져왔습니다. 이와 더불어 IT환경에도 많은 변화가 생겼습니다. 기업들은 시장에서 생존하기 위하여 기존의 모놀리식 애플리케이션 개발 방식에서 작고 독립적인 마이크로 서비스로 분해해서 개발하고 있습니다. 유연성과 확장성, 그리고 개발 속도를 향상하여 시장의 요구에 최대한 빨리 응답하기 위한 변화의 일부일 것입니다. 마이크로 서비스의 도입과 더불어 클라우드 전환 또한 가속화 되고 있는 실정입니다. 작년 설문조사 결과 43% 회사가 현재 클라우드 환경에서 업무를 처리하고 있다고 응답했습니다. 몇일 전 있었던 ‘가트너 IT 인..