¿ä¾à : À¯¸í ±ÝÀ¶ ¹× ÇÉÅ×Å© Ç÷§ÆûÀÇ API¿¡¼ ¼¹ö »çÀÌµå ¿äû Á¶ÀÛ(Server Side Request Forgery, SSRF) Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù°í º¸¾È ¿Ü½Å ¾²·¹Æ®Æ÷½ºÆ®°¡ º¸µµÇß´Ù. Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚµéÀº °ü¸®ÀÚ ±ÇÇÑÀ» ¾ò°Ô µÇ¸ç, À̸¦ ÅëÇØ ¿©·¯ °¡Áö ¾Ç¼º ÇàÀ§¸¦ ÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ÀÌ ¶§¹®¿¡ ¼ö¹é~¼öõ ¸¸ÀÇ ¿Â¶óÀÎ ¹ðÅ· ¹× ±ÝÀ¶ ¼ºñ½º °í°´µéÀÌ »çÀ̹ö °ø°Ý¿¡ ³ëÃâµÉ ¼ö ÀÖ´Ù°í ÇÑ´Ù. ¹®Á¦ÀÇ API¸¦ ¹ßÇàÇÑ È¸»ç´Â ACME ÇÉÅ×Å©(ACME Fintech)¶ó°í º¸°í¼¿¡ ¸í¸íµÇ¾ú´Âµ¥, ÁøÂ¥ À̸§Àº ¾Æ´Ï´Ù.
[À̹ÌÁö = utoimage]
¹è°æ : APIÀÇ Ãë¾àÁ¡°ú ¿À·ùµéÀº °£°úµÇ´Â °æ¿ì°¡ ¸¹´Ù. ÇÏÁö¸¸ Çö´ëÀÇ Á¶Á÷µé °£ µ¥ÀÌÅÍ ±³·ù ÇöȲÀ» º¼ ¶§ API´Â ¸Å¿ì Áß¿äÇÑ ¿ªÇÒÀ» ´ã´çÇϱ⠶§¹®¿¡ °£°úµÇ¾î¼´Â ¾È µÉ ¿ä¼Ò´Ù. °Ô´Ù°¡ ÇÉÅ×Å© ±â¾÷µé°ú ±ÝÀ¶ Ç÷§ÆûÀº ÇØÄ¿µéÀÌ °¡Àå ¸¹ÀÌ ³ë¸®´Â Ç¥ÀûÀ̱⠶§¹®¿¡, ÀÌ ºÐ¾ß¿¡¼ »ç¿ëµÇ´Â API´Â ´õ ÁÖÀÇ ±íÀº º¸È£°¡ ÇÊ¿äÇÏ´Ù.
¸»¸»¸» : ¡°SSRF ¿À·ù´Â »ý°¢º¸´Ù ÈçÈ÷ ¹ß°ßµÇ´Â Ãë¾àÁ¡ÀÔ´Ï´Ù. ƯÈ÷ ÇÉÅ×Å© ¾÷üµéÀÇ ¼ºñ½º¿¡¼ ¸¹ÀÌ ¹ß°ßµÇÁÒ. API¸¦ ÅëÇÑ °ø°ÝÀÇ ºóµµµµ ÃÖ±Ù ºü¸£°Ô ³ô¾ÆÁö´Â ÁßÀÌ°í¿ä.¡± -¼³Æ®½ÃÅ¥¸®Æ¼(Salt Security)-
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>