RSS DEV 커뮤니티
팔로우
당신의 UI는 보안의 일부가 아닙니다: BOLA의 현실
사용자 인터페이스 보안이 충분하다는 믿음은 잘못된 생각이며, 공격자들은 주로 API를 노립니다. BOLA(Broken Object Level Authorization)는 백엔드 시스템이 특정 객체에 대한 사용자 접근을 제대로 확인하지 못하는 치명적인 취약점입니다. 공격자들은 Burp Suite나 curl과 같은 도구를 사용하여 API 요청을 쉽게 조작하여 승인되지 않은 데이터에 접근할 수 있습니다. UI는 단순히 API 클라이언트일 뿐이며, 공격자들은 UI를 우회하여 API 엔드포인트를 직접 공격합니다. UI의 한계가 승인되지 않은 접근을 막을 수 있다고 가정하는 것은 잘못된 것으로, 백엔드 권한 부여가 가장 중요합니다. BOLA의 영향으로는 데이터 유출, 승인되지 않은 거래, 규정 준수 위반, 명성 손상 등이 있습니다. 효과적인 방어를 위해서는 백엔드 권한 부여 시행, 최소 권한 원칙 적용, 중앙 집중식 접근 제어, 포괄적인 테스트, 자동화된 CI/CD 보안 검사가 필요합니다. API 보안을 우선시하는 것이 중요하며, UI 중심의 보안 접근 방식은 불충분합니다. 공격자들은 UI를 완전히 우회하여 요청을 직접 수정하므로, 강력한 백엔드 보안의 중요성을 강조합니다.
