Kant's Times

Multiple Azure DevOps Vulnerabilities Let Inject CRLF Queries & Rebind DNS Multiple Azure DevOps Vulnerabilities Let Inject CRLF Queries & Rebind DNSResearchers uncovered several significant vulnerabilities within Azure DevOps, focusing on SSRF weaknesses.gbhackers.com Azure DevOps 취약점 개요서버 측 요청 위조(SSRF) 취약점 다수 발견Azure 환경 내 서비스 연결(Service Connection) 보안 문제 확인공격자가 개발자 계정을 탈취하면 권한 상승(Privilege Esc..

Severe Security Flaws Patched in Microsoft Dynamics 365 and Power Apps Web API 발견된 취약점OData Web API Filter에서 두 가지 취약점이 발견됨첫 번째: 접근 제어 결여로 인해 연락처 테이블에 저장된 민감 정보(이름, 전화번호, 주소, 금융 데이터, 암호 해시 등)에 접근 가능두 번째: orderby 절을 사용해 특정 열 데이터를 추출 가능 (예: EMailAddress1, 주 이메일 주소)FetchXML API의 취약점orderby 쿼리를 사용해 제한된 열의 데이터에 접근 가능기존의 접근 제어를 우회할 수 있으며, 추가적인 유연성을 제공구체적인 공격 방식첫 번째 취약점: Boolean 기반 검색으로 암호 해시를 추출예: star..

OWASP 선정 주요 취약점 대응 위한 API 보안기술 TOP 6 OWASP 선정 주요 취약점 대응 위한 API 보안기술 TOP 6API(Application Programming Interface)는 각기 다른 애플리케이션을 연결해 주는 인터페이스로, 각각의 서비스들을 하나로 묶는 중요한 역할을 한다. API 보안의 기본은 웹 애플리케이션 보안이다. 버퍼www.boannews.com API 보안의 중요성API(Application Programming Interface)는 서로 다른 애플리케이션 간의 연결을 제공하며, 데이터 교환과 서비스 통합에 필수적임민감 정보 보호, 접근 제한, 로그 관리, 크리덴셜 스터핑(Credential Stuffing) 방지 등을 통해 API 보안이 강화되어야 함OWASP ..

맥도날드 API 악용…배달 탈취‧1센트 햄버거 주문 해킹 공격 - 테크레시피 맥도날드 API 악용…배달 탈취‧1센트 햄버거 주문 해킹 공격 - 테크레시피맥도날드의 공식 배달 시스템인 맥딜리버리 취약점을 이용해 임의 메뉴를 1센트로 주문하거나 다른 사람 배달 주문을 가로챌 수 있다는 사실이 밝혀졌다. 보안 기업 트레이서블AI(Traceable AI) 보techrecipe.co.kr 사건 개요맥도날드 인도의 공식 배달 시스템인 맥딜리버리(McDelivery)의 API 결함이 발견됨이를 통해 메뉴를 1센트(₹1)로 주문하거나, 다른 사람의 배달 주문을 가로채는 등 다양한 해킹 공격 가능성이 밝혀짐보안 기업 트레이서블AI의 이턴 즈베어가 해당 취약점을 발견하여 보고취약점 유형BOLA(Broken Object L..

주해종 강남대 교수 “디지털SW 생태계, 핵심은 API 보안” 주해종 강남대 교수 “디지털SW 생태계, 핵심은 API 보안”“디지털의 근간은 API(Application Programming Interface)입니다. 세계적으로 인공지능(AI) API 전환이 이뤄지는 만큼, 급변하는 시대에 최적화한 API 관리 방안 마련이 시급합니다.” 주해종 강남대 교수는www.etnews.com API 보안 중요성API는 외부와 상호작용하는 창구 기능을 하며, 제대로 방어되지 않으면 해커의 주요 표적이 됨API 취약점을 악용해 민감한 정보에 접근하거나 시스템 공격을 할 수 있음데이터 유출, 권한 상승, 무차별 대입 공격(Brute Force), 악성 행위 등이 주요 위협체크포인트 리서치 보고서에 따르면 세계 기관의 ..

[클라우드 내비게이터-웹·API 보안] 새로운 공격 도구, API·봇 - 데이터넷 [클라우드 내비게이터-웹·API 보안] 새로운 공격 도구, API·봇 - 데이터넷[데이터넷] 소프트웨어 중심 환경으로 전환하면서 API가 급증하고 있다. 클라우드플레어에 따르면 전체 웹 트래픽의 71~83%가 API 통신이다. F5 조사에서는 디지털 전환 단계마다 API가 평균 5%씩 증www.datanet.co.kr API 사용 증가API 사용이 디지털 전환 과정에서 급증하며, 클라우드플레어에 따르면 전체 웹 트래픽의 71~83%가 API 통신으로 구성대규모 API 사용으로 인해 API 보안에 대한 요구가 커지고 있음API 설계 오류로 인한 보안 위협API 설계 오류가 대규모 보안 사고로 이어질 수 있음호주 통신사 옵터스..