[번역] OWASP API Security Top 10

https://apisecurity.io/encyclopedia/content/owasp/owasp-api-security-top-10.htm 본 문서는 “OWASP API Security Top 10″으로 게시된 내용을 번역한 내용입니다.개인적인 연구목적으로 작성하였으며 출처를 표기하신 후에 인용을 부탁드립니다. 오역이 발생할 여지가 있는 부분은 영어 그대로 표기하였으며, 번역자 의견의 경우 녹색으로 표시하였습니다. Web application security vs API security REST API와 Web Application 간에는 유사점이 많지만, 근본적인 차이점도 있습니다. 전통적인 Web Application에서는 데이터 프로세싱이 서버사이드에서 이루어지며, 프로세싱 결과는 클라이언트 브라우저로 전송된 후 렌더링되어 표시됩니다. 이러한 이유로 인해 비즈니스상 네트워크 아키텍쳐에 대한 진입점 (사용자 접점)은 상대적으로 적으며 WAF(웹방화벽)과 같은 장비를 서버 앞단에 설정함으로써 공격을 직관적으로 방어할 수 있었습니다. 그러나 최신 API기반의 어플리케이션은 상황이 아주 다릅니다. 점점 더 많은 UI들이 어플리케이션의 기능을 제공하기 … Read More

Continue Reading

대학원 논문 일기를 시작하며

대학원 전체 과정의 절반을 지나왔다.  2학기동안 (파트타임 치곤) 많은 수업을 수강해 둔 덕분에 올해 (내년이라 썼다가 고침, 벌써 1월 중순인가) 에는 논문에 좀 더 집중할 수 있을 것으로 보인다. 파트 타임 대학원생은 풀 타임 대비 연구에 투자할 수 있는 시간이 절대적으로 부족하다. 이 팩트 자체를 우선 인정하고 갈 필요가 있다. 좋은 논문을 작성하고 싶은 욕심은 크지만 그렇다고 무리하게 하루에 2시간만 자면서 풀 타임 연구원을 따라가고자 하는 것은 어리석은 짓이다. 무엇보다 대학원의 목표 자체가 “풀 타임 학생만큼 하겠다”는 아니기 때문이다. 따라서 파트타임 대학원생은 전략적으로 논문을 준비할 필요가 있다고 생각한다. 논문 주제도 최대한 실무 경험을 바탕으로 선정하고, 준비 과정에서도 회사 동료들의 의견을 … Read More

Continue Reading

버그는 뜻하지 않게 찾아온다 – 카카오뱅크 취약점 제보 후기

공인인증서나 보안 프로그램과 같은 발암(?)물질이 전혀 포함되지 않아 엄청난 인기를 얻고 있는 카카오뱅크의 취약점을 찾아 지난 8월에 제보하였다. 사실 기술적으로는 굉장히 별거 없는 (화려한 익스플로잇 따위는 1도 포함 안된) 취약점이긴 하나 그것을 찾기 위한 과정은 꼭 한번 소개를 하고 싶었다. 우리의 일상속에서 쉽게 지나칠 수 있는 것들을 유심히 살펴보는 것 만으로 도 버그를 찾을 수 있다는 것을 말해보고자 한다. 슬램덩크에 보면 송태섭의 도움을 받아 강백호가 엘리우프를 성공시켜  기선을 잡는 장면이 있는데 이후 상대팀의 에이스인 정우성(맞나?)이 매우 평범한 점프슛을 넣은 후 다음과 같은 명언을 남겼더랬다. “같은 2점이다” 즉 엄청난 시간의 분석과 리버싱, 익스플로잇을 통해 취약점을 찾는것도 하나의 방법이지만, 일상을 소소하게 관찰하거나, 평소 습관처럼 사용하던 … Read More

Continue Reading

해커원 버그바운티 절반의 실패 경험기

HackerOne (http://hackerone.com)은 온라인 버그바운티 플랫폼으로써 170여개의 기업이 참여하고 있다. 현재까지 45,000개 이상의 취약점이 HackerOne을 통해 보고 되었다고 하니, 해커들이 이 플랫폼을 얼마나 적극적으로 활용하고 있는지를 대략이나마 가늠할 수 있다. 해커원 버그 바운티 현황…버그가 많이도 나왔다   사실 시스템 해킹을 공부하는 입장에서 HackerOne 은 크게 매력적인 플랫폼은 아니다. 참여하고 있는 대부분의 기업들이 웹 어플리케이션(Web Application)을 바운티 범위 (Scope)로 잡고 있기 때문에 대부분의 보고된 취약점 역시 웹 취약점에 한정되어 있다. 그럼에도 불구하고 나는 매일같이 이 사이트를 들락날락 거리면서, 여러 해커들이 찾은 신선한 아이디어를 낼름낼름 공짜로 공부하는 즐거움을 느낄 수 있었다. 이번 블로그 포스팅은 나의 첫번째 해커원 버그바운티 도전/실패 경험 그리고 외국 보안 … Read More

Continue Reading

Site Footer