Article
파이오링크, ‘API 보안 백서’ 발간 - 아이티데일리
[아이티데일리] 파이오링크(대표 조영철)는 마이데이터 사업으로 부상한 API 및 API 보안에 대응하는 핵심 기술을 소개한 ‘API 보안 백서’를 발간했다고 7일 밝혔다.API란 각기 다른 애플리케이션
www.itdaily.kr
파이오링크, ‘API 보안 백서’ 발간
아이티데일리, 이다은, 2022.03.07 13:58
Resurch
▶️ mTLS
- 전송 보안 계층으로 컴퓨터 네트워크 통신 보안을 제공하기 위해 설계된 암호 규약 _ 과거 명칭 SSL
- 기존 서버 인증에 클라이언트(서버에서 클라이언트를 검증) 인증 과정을 더한것
- 양 극단에서 비밀키를 가지고 있는지 확인하여 올바른 통신인지 확인
- X.509: 공개키 인증서의 형식을 정의하는 표준, 인터넷 프로토콜에서 사용
공개 키와 ID를 포함하여 인증기관/자체 서명을 통해 CA에서 유효성 확인
- TLS handshake 과정을 통해 인증 성립
- https://www.piolink.com/down.php?idx=114
▶️ 식별정보 클로킹
- API 엔드포인트에 식별정보가 필요한 경우 클라이언트는 해당하는 식별정보를 포함하여 요청함
- 요청 필드가 공격자에게 노출되어 식별 정보를 쉽게 구분할 수 있다면, 공격자는 이를 이용하여 손상된 객체 수준 권한 공격을 할 수 있음
▶️ 클로킹
- 사용자의 검색엔진에 각기 다른 콘텐츠, URL을 적용하는 행위
- 사용자에게는 이미지 페이지를 표시하고 검색엔진에는 HTML 텍스트 페이지 제공
- 페이지를 요청한느 사용자가 사람이 아니라 검색 엔진일 때만 페이지에 텍스트나 키워드 삽입
- 해커는 클로킹으로 사이트 사용자가 해킹 여부를 감지하지 못하도록 함
Summary
- 양방향 TLS
- 식별정보 클로킹
- API 토큰 인증 및 무결성 검사
- API별 허용 임계치 및 메소드 설정
- JSON 응답 클로킹
- JSON 요청 필드 검사
