보안 용어집: WAF

깨진 개체 수준 권한 부여

깨진 개체 수준 권한 부여

BOLA(Broken Object Level Authorization)는 애플리케이션 또는 해당 API(애플리케이션 프로그래밍 인터페이스)가 특정 데이터 객체에 액세스하기 위한 사용자 인증을 적절하게 확인하지 못할 때 발생하는 중요한 보안 취약점입니다. 이 결함은 애플리케이션 보안에 심각한 위험을 초래하는 광범위한 인증 문제 범주의 일부입니다. BOLA를 사용하면 악의적인 행위자가 인증 메커니즘을 우회하여 민감한 데이터에 액세스하거나 일반적으로 허용되지 않는 무단 작업을 수행할 수 있습니다.

BOLA의 기본 개념은 간단하지만 애플리케이션이나 플랫폼의 보안에 깊은 영향을 미칩니다. 예를 들어, 사용자에게 개인 데이터, 재무 세부정보, 독점 회사 정보 등 민감한 정보가 포함된 문서에 대한 액세스 권한을 잘못 부여한 경우, 승인되지 않은 개인이 이 정보를 악용하면 결과는 심각할 수 있습니다. 그러한 데이터의 위반은 금전적 손실, 명예 훼손, 법적 결과 및 기타 심각한 결과를 초래할 수 있습니다.

BOLA는 널리 퍼져 있고 상대적으로 악용되기 쉽기 때문에 특히 우려됩니다. 공격자는 URL 조작, 요청 매개변수 수정, 부적절한 액세스 제어 악용 등 다양한 기술을 사용하여 승인되지 않은 데이터 개체를 식별하고 액세스할 수 있습니다. 승인 확인을 우회하면 민감한 정보에 액세스, 수정 또는 삭제할 수 있어 다음과 같은 일이 발생할 수 있습니다. 데이터 유출 및 기타 보안 사고.

웹 보안 분야의 저명한 조직인 OWASP(Open Web Application Security Project) 재단은 이 취약점의 중요성을 인식했습니다. 상위 10위 목록에 API 보안 위험 2023년에는 BOLA가 1위 위험으로 선정되어 그 보급률과 악용 가능성이 강조되었습니다.

BOLA의 위험을 완화하기 위해 개발자와 보안 전문가는 개체 수준에서 강력한 권한 부여 확인을 구현하여 사용자가 명시적인 권한이 있는 데이터 개체에만 액세스할 수 있도록 해야 합니다. 정기적인 보안 평가와 인증 설계 모범 사례 준수도 BOLA 취약점을 예방하는 데 중요합니다.