OWASP (1) 썸네일형 리스트형 OWASP API Security Top 10 (2023) 1. 취약한 객체 수준 인가 ( Broken Object Level Authorization )자신이 아닌 다른 사람의 데이터에 접근 가능한 문제 예시/api/users/42/posts 로 42번 사용자의 비공개 게시물을 URL 숫자만 바꿔서 접근 방어법사용자가 요청한 데이터에 접근 권한이 있는지 매 요청마다 확인요청한 id 뿐만 아니라 소유권과 권한도 확인 2. 취약한 인증 ( Broken Authentication )누가 로그인했는지 제대로 확인하지 않는 문제 예시약한 암호를 허용하거나 무제한 로그인 시도를 허용JWT 토큰을 제대로 검증하지 않거나 만료된 토큰을 계속 사용가능한 경우방어법강력한 비밀번호 정책 사용다중 인증(MFA - 비밀번호, 휴대폰, 지문 등 중 2가지 이상 조합해서 사용) 구현안전.. 이전 1 다음
