영향
손상된 API를 통해 공격자는 사용자 인터페이스를 우회하고 백엔드 데이터베이스 및 서비스 [S1]와 직접 상호 작용할 수 있습니다. 이로 인해 무단 데이터 유출, 무차별 대입을 통한 계정 탈취 또는 리소스 고갈 [S3][S5]로 인한 서비스 사용 불가능이 발생할 수 있습니다.
근본 원인
주요 근본 원인은 충분한 검증 및 보호 [S1]가 부족한 엔드포인트를 통한 내부 논리의 노출입니다. 개발자는 기능이 UI에 표시되지 않으면 해당 기능이 안전하다고 가정하여 액세스 제어 [S2]가 손상되고 CORS 너무 많은 원본 [S4]를 신뢰하는 허용적인 CORS 정책이 발생합니다.
필수 API 보안 체크리스트
- 엄격한 액세스 제어 시행: 모든 엔드포인트는 요청자가 [S2]에 액세스 중인 특정 리소스에 대한 적절한 권한을 가지고 있는지 확인해야 합니다.
- 비율 제한 구현: 특정 기간 [S3] 내에 클라이언트가 만들 수 있는 요청 수를 제한하여 자동화된 남용 및 DoS 공격으로부터 보호합니다.
- CORS를 올바르게 구성: 인증된 엔드포인트에 와일드카드 원본(
*)을 사용하지 마세요. 사이트 간 데이터 유출을 방지하기 위해 허용되는 원본을 명시적으로 정의합니다. [S4]. - 끝점 가시성 감사: 민감한 기능 [S1]를 노출할 수 있는 "숨겨진" 또는 문서화되지 않은 끝점을 정기적으로 검색합니다.
FixVibe가 이를 테스트하는 방법
FixVibe는 이제 여러 실시간 확인을 통해 이 체크리스트를 다룹니다. Active-gated 프로브는 인증 엔드포인트 속도 제한, CORS, CSRF, SQL 주입, 인증 흐름 약점 및 기타 API 관련 문제를 검증 후에만 테스트합니다. 수동 검사는 보안 헤더, 공개 API 문서 및 OpenAPI 노출, 클라이언트 번들의 비밀을 검사합니다. Repo 스캔에는 안전하지 않은 CORS, 원시 SQL 보간, 약한 JWT 비밀, 디코드 전용 JWT 사용, 웹훅 서명 격차 및 종속성 문제에 대한 코드 수준 위험 검토가 추가됩니다.