코더 컨커 시큐리티 OWASP Top 10 API 시리즈 - 리소스 부족 및 속도 제한
리소스 부족과 속도 제한으로 인해 API 취약점은 제목에서 설명한 것과 거의 동일하게 작용합니다.모든 API는 환경에 따라 사용 가능한 리소스와 컴퓨팅 성능이 제한되어 있습니다.또한 대부분은 원하는 기능을 수행하도록 요청하는 사용자나 다른 프로그램의 요청을 처리해야 합니다.이 취약성은 동시에 너무 많은 요청이 들어오고 API에 이러한 요청을 처리할 수 있는 컴퓨팅 리소스가 충분하지 않을 때 발생합니다.그러면 API를 사용할 수 없게 되거나 새 요청에 응답하지 않을 수 있습니다.
속도 또는 리소스 제한이 올바르게 설정되지 않았거나 코드에 제한이 정의되지 않은 상태로 남아 있는 경우 API는 이 문제에 취약해집니다.그러면 예를 들어 비즈니스가 특히 바쁜 시기에 있을 경우 API에 과부하가 걸릴 수 있습니다.하지만 이는 보안 취약점이기도 합니다. 위협 행위자가 의도적으로 보호되지 않은 API에 요청을 과부하시켜 DDoS (서비스 거부) 공격을 수행할 수 있기 때문입니다.
그나저나, 지금까지의 API 게임화 과제는 어떻게 다루고 계신가요?속도 제한 취약점을 처리하는 기술을 지금 바로 시험해보고 싶다면, 다음 단계로 들어가 보세요.
이제 좀 더 깊이 들어가 보겠습니다.
리소스 부족 및 속도 제한 API 취약점의 몇 가지 예는 무엇입니까?
이 취약점이 API에 침투할 수 있는 두 가지 방법이 있습니다.첫 번째는 코더가 API의 스로틀 속도를 간단히 정의하지 않는 경우입니다.인프라 어딘가에 스로틀 속도에 대한 기본 설정이 있을 수 있지만, 이에 의존하는 것은 좋은 정책이 아닙니다.대신 각 API의 속도를 개별적으로 설정해야 합니다.API는 사용 가능한 리소스뿐만 아니라 기능도 크게 다를 수 있기 때문에 특히 그렇습니다.
예를 들어 소수의 사용자에게만 서비스를 제공하도록 설계된 내부 API는 스로틀 속도가 매우 낮고 제대로 작동할 수 있습니다.하지만 실시간 전자상거래 사이트의 일부인 공개 API의 경우 동시 사용자 급증 가능성을 상쇄하기 위해 예외적으로 높은 비율을 정의해야 할 가능성이 높습니다.두 경우 모두 예상 요구 사항, 잠재 사용자 수, 사용 가능한 컴퓨팅 파워를 기반으로 스로틀링 비율을 정의해야 합니다.
특히 사용량이 매우 많은 API의 경우 성능을 극대화하기 위해 속도를 무제한으로 설정하고 싶을 수 있습니다.간단한 코드만으로 이 작업을 수행할 수 있습니다 (예를 들어, 다음을 사용하겠습니다. 파이썬 장고 REST 프레임워크):
“기본_스로틀_속도: {
“캐논: 없음,
“사용자: 없음
이 예시에서는 익명 사용자와 시스템에 알려진 사용자 모두 시간 경과에 따른 요청 수에 관계없이 무제한으로 API에 접속할 수 있습니다.이는 좋지 않은 생각입니다. 왜냐하면 API가 사용할 수 있는 컴퓨팅 리소스가 아무리 많아도 공격자는 봇넷과 같은 것을 배포하여 결국 크롤링 속도를 늦추거나 아예 오프라인 상태로 만들 수 있기 때문입니다.이 경우 유효한 사용자의 액세스가 거부되고 공격은 성공할 수 있습니다.
리소스 부족 및 속도 제한 문제 해결
조직에서 배포하는 모든 API에는 코드에 스로틀 비율이 정의되어 있어야 합니다.여기에는 실행 제한 시간, 최대 허용 메모리, 사용자에게 반환할 수 있는 페이지당 레코드 수, 정의된 기간 내에 허용된 프로세스 수 등이 포함될 수 있습니다.
위의 예에서 볼 수 있듯이 스로틀링 비율을 그대로 두지 않고 익명 사용자와 알려진 사용자에 대해 서로 다른 요율로 엄격하게 정의할 수 있습니다.
“기본_스로틀_속도: {
“anon: 구성 (“스로틀_애논, 기본값=200/시간),
“사용자: 구성 (“스로틀_사용자, 기본값=5000/시간)
새 예제에서 API는 익명 사용자가 시간당 200건의 요청을 하도록 제한합니다.이미 시스템의 심사를 거친 알려진 사용자에게는 시간당 5,000건의 요청으로 더 많은 여유가 주어집니다.하지만 피크 타임에 발생하는 우발적인 과부하를 방지하거나 사용자 계정이 도용되어 서비스 거부 공격에 이용되는 경우를 보상하기 위한 목적으로도 제한적입니다.
마지막으로 고려해야 할 사항으로, 사용자가 스로틀링 한도에 도달하면 해당 제한이 재설정되는 시기에 대한 설명과 함께 사용자에게 알림을 표시하는 것이 좋습니다.이렇게 하면 유효한 사용자는 애플리케이션에서 요청을 거부하는 이유를 알 수 있습니다.이는 승인된 작업을 수행하는 유효한 사용자의 API 액세스가 거부되는 경우에도 유용할 수 있습니다. 이는 운영 담당자에게 전송률 제한을 늘려야 한다는 신호를 보낼 수 있기 때문입니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 사용해 보기 Secure Code Warrior 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
이 취약점은 너무 많은 요청이 동시에 들어오고 API에 이러한 요청을 처리하기에 충분한 컴퓨팅 리소스가 없을 때 발생합니다.그러면 API를 사용할 수 없게 되거나 새 요청에 응답하지 않을 수 있습니다.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
리소스 부족과 속도 제한으로 인해 API 취약점은 제목에서 설명한 것과 거의 동일하게 작용합니다.모든 API는 환경에 따라 사용 가능한 리소스와 컴퓨팅 성능이 제한되어 있습니다.또한 대부분은 원하는 기능을 수행하도록 요청하는 사용자나 다른 프로그램의 요청을 처리해야 합니다.이 취약성은 동시에 너무 많은 요청이 들어오고 API에 이러한 요청을 처리할 수 있는 컴퓨팅 리소스가 충분하지 않을 때 발생합니다.그러면 API를 사용할 수 없게 되거나 새 요청에 응답하지 않을 수 있습니다.
속도 또는 리소스 제한이 올바르게 설정되지 않았거나 코드에 제한이 정의되지 않은 상태로 남아 있는 경우 API는 이 문제에 취약해집니다.그러면 예를 들어 비즈니스가 특히 바쁜 시기에 있을 경우 API에 과부하가 걸릴 수 있습니다.하지만 이는 보안 취약점이기도 합니다. 위협 행위자가 의도적으로 보호되지 않은 API에 요청을 과부하시켜 DDoS (서비스 거부) 공격을 수행할 수 있기 때문입니다.
그나저나, 지금까지의 API 게임화 과제는 어떻게 다루고 계신가요?속도 제한 취약점을 처리하는 기술을 지금 바로 시험해보고 싶다면, 다음 단계로 들어가 보세요.
이제 좀 더 깊이 들어가 보겠습니다.
리소스 부족 및 속도 제한 API 취약점의 몇 가지 예는 무엇입니까?
이 취약점이 API에 침투할 수 있는 두 가지 방법이 있습니다.첫 번째는 코더가 API의 스로틀 속도를 간단히 정의하지 않는 경우입니다.인프라 어딘가에 스로틀 속도에 대한 기본 설정이 있을 수 있지만, 이에 의존하는 것은 좋은 정책이 아닙니다.대신 각 API의 속도를 개별적으로 설정해야 합니다.API는 사용 가능한 리소스뿐만 아니라 기능도 크게 다를 수 있기 때문에 특히 그렇습니다.
예를 들어 소수의 사용자에게만 서비스를 제공하도록 설계된 내부 API는 스로틀 속도가 매우 낮고 제대로 작동할 수 있습니다.하지만 실시간 전자상거래 사이트의 일부인 공개 API의 경우 동시 사용자 급증 가능성을 상쇄하기 위해 예외적으로 높은 비율을 정의해야 할 가능성이 높습니다.두 경우 모두 예상 요구 사항, 잠재 사용자 수, 사용 가능한 컴퓨팅 파워를 기반으로 스로틀링 비율을 정의해야 합니다.
특히 사용량이 매우 많은 API의 경우 성능을 극대화하기 위해 속도를 무제한으로 설정하고 싶을 수 있습니다.간단한 코드만으로 이 작업을 수행할 수 있습니다 (예를 들어, 다음을 사용하겠습니다. 파이썬 장고 REST 프레임워크):
“기본_스로틀_속도: {
“캐논: 없음,
“사용자: 없음
이 예시에서는 익명 사용자와 시스템에 알려진 사용자 모두 시간 경과에 따른 요청 수에 관계없이 무제한으로 API에 접속할 수 있습니다.이는 좋지 않은 생각입니다. 왜냐하면 API가 사용할 수 있는 컴퓨팅 리소스가 아무리 많아도 공격자는 봇넷과 같은 것을 배포하여 결국 크롤링 속도를 늦추거나 아예 오프라인 상태로 만들 수 있기 때문입니다.이 경우 유효한 사용자의 액세스가 거부되고 공격은 성공할 수 있습니다.
리소스 부족 및 속도 제한 문제 해결
조직에서 배포하는 모든 API에는 코드에 스로틀 비율이 정의되어 있어야 합니다.여기에는 실행 제한 시간, 최대 허용 메모리, 사용자에게 반환할 수 있는 페이지당 레코드 수, 정의된 기간 내에 허용된 프로세스 수 등이 포함될 수 있습니다.
위의 예에서 볼 수 있듯이 스로틀링 비율을 그대로 두지 않고 익명 사용자와 알려진 사용자에 대해 서로 다른 요율로 엄격하게 정의할 수 있습니다.
“기본_스로틀_속도: {
“anon: 구성 (“스로틀_애논, 기본값=200/시간),
“사용자: 구성 (“스로틀_사용자, 기본값=5000/시간)
새 예제에서 API는 익명 사용자가 시간당 200건의 요청을 하도록 제한합니다.이미 시스템의 심사를 거친 알려진 사용자에게는 시간당 5,000건의 요청으로 더 많은 여유가 주어집니다.하지만 피크 타임에 발생하는 우발적인 과부하를 방지하거나 사용자 계정이 도용되어 서비스 거부 공격에 이용되는 경우를 보상하기 위한 목적으로도 제한적입니다.
마지막으로 고려해야 할 사항으로, 사용자가 스로틀링 한도에 도달하면 해당 제한이 재설정되는 시기에 대한 설명과 함께 사용자에게 알림을 표시하는 것이 좋습니다.이렇게 하면 유효한 사용자는 애플리케이션에서 요청을 거부하는 이유를 알 수 있습니다.이는 승인된 작업을 수행하는 유효한 사용자의 API 액세스가 거부되는 경우에도 유용할 수 있습니다. 이는 운영 담당자에게 전송률 제한을 늘려야 한다는 신호를 보낼 수 있기 때문입니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 사용해 보기 Secure Code Warrior 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
리소스 부족과 속도 제한으로 인해 API 취약점은 제목에서 설명한 것과 거의 동일하게 작용합니다.모든 API는 환경에 따라 사용 가능한 리소스와 컴퓨팅 성능이 제한되어 있습니다.또한 대부분은 원하는 기능을 수행하도록 요청하는 사용자나 다른 프로그램의 요청을 처리해야 합니다.이 취약성은 동시에 너무 많은 요청이 들어오고 API에 이러한 요청을 처리할 수 있는 컴퓨팅 리소스가 충분하지 않을 때 발생합니다.그러면 API를 사용할 수 없게 되거나 새 요청에 응답하지 않을 수 있습니다.
속도 또는 리소스 제한이 올바르게 설정되지 않았거나 코드에 제한이 정의되지 않은 상태로 남아 있는 경우 API는 이 문제에 취약해집니다.그러면 예를 들어 비즈니스가 특히 바쁜 시기에 있을 경우 API에 과부하가 걸릴 수 있습니다.하지만 이는 보안 취약점이기도 합니다. 위협 행위자가 의도적으로 보호되지 않은 API에 요청을 과부하시켜 DDoS (서비스 거부) 공격을 수행할 수 있기 때문입니다.
그나저나, 지금까지의 API 게임화 과제는 어떻게 다루고 계신가요?속도 제한 취약점을 처리하는 기술을 지금 바로 시험해보고 싶다면, 다음 단계로 들어가 보세요.
이제 좀 더 깊이 들어가 보겠습니다.
리소스 부족 및 속도 제한 API 취약점의 몇 가지 예는 무엇입니까?
이 취약점이 API에 침투할 수 있는 두 가지 방법이 있습니다.첫 번째는 코더가 API의 스로틀 속도를 간단히 정의하지 않는 경우입니다.인프라 어딘가에 스로틀 속도에 대한 기본 설정이 있을 수 있지만, 이에 의존하는 것은 좋은 정책이 아닙니다.대신 각 API의 속도를 개별적으로 설정해야 합니다.API는 사용 가능한 리소스뿐만 아니라 기능도 크게 다를 수 있기 때문에 특히 그렇습니다.
예를 들어 소수의 사용자에게만 서비스를 제공하도록 설계된 내부 API는 스로틀 속도가 매우 낮고 제대로 작동할 수 있습니다.하지만 실시간 전자상거래 사이트의 일부인 공개 API의 경우 동시 사용자 급증 가능성을 상쇄하기 위해 예외적으로 높은 비율을 정의해야 할 가능성이 높습니다.두 경우 모두 예상 요구 사항, 잠재 사용자 수, 사용 가능한 컴퓨팅 파워를 기반으로 스로틀링 비율을 정의해야 합니다.
특히 사용량이 매우 많은 API의 경우 성능을 극대화하기 위해 속도를 무제한으로 설정하고 싶을 수 있습니다.간단한 코드만으로 이 작업을 수행할 수 있습니다 (예를 들어, 다음을 사용하겠습니다. 파이썬 장고 REST 프레임워크):
“기본_스로틀_속도: {
“캐논: 없음,
“사용자: 없음
이 예시에서는 익명 사용자와 시스템에 알려진 사용자 모두 시간 경과에 따른 요청 수에 관계없이 무제한으로 API에 접속할 수 있습니다.이는 좋지 않은 생각입니다. 왜냐하면 API가 사용할 수 있는 컴퓨팅 리소스가 아무리 많아도 공격자는 봇넷과 같은 것을 배포하여 결국 크롤링 속도를 늦추거나 아예 오프라인 상태로 만들 수 있기 때문입니다.이 경우 유효한 사용자의 액세스가 거부되고 공격은 성공할 수 있습니다.
리소스 부족 및 속도 제한 문제 해결
조직에서 배포하는 모든 API에는 코드에 스로틀 비율이 정의되어 있어야 합니다.여기에는 실행 제한 시간, 최대 허용 메모리, 사용자에게 반환할 수 있는 페이지당 레코드 수, 정의된 기간 내에 허용된 프로세스 수 등이 포함될 수 있습니다.
위의 예에서 볼 수 있듯이 스로틀링 비율을 그대로 두지 않고 익명 사용자와 알려진 사용자에 대해 서로 다른 요율로 엄격하게 정의할 수 있습니다.
“기본_스로틀_속도: {
“anon: 구성 (“스로틀_애논, 기본값=200/시간),
“사용자: 구성 (“스로틀_사용자, 기본값=5000/시간)
새 예제에서 API는 익명 사용자가 시간당 200건의 요청을 하도록 제한합니다.이미 시스템의 심사를 거친 알려진 사용자에게는 시간당 5,000건의 요청으로 더 많은 여유가 주어집니다.하지만 피크 타임에 발생하는 우발적인 과부하를 방지하거나 사용자 계정이 도용되어 서비스 거부 공격에 이용되는 경우를 보상하기 위한 목적으로도 제한적입니다.
마지막으로 고려해야 할 사항으로, 사용자가 스로틀링 한도에 도달하면 해당 제한이 재설정되는 시기에 대한 설명과 함께 사용자에게 알림을 표시하는 것이 좋습니다.이렇게 하면 유효한 사용자는 애플리케이션에서 요청을 거부하는 이유를 알 수 있습니다.이는 승인된 작업을 수행하는 유효한 사용자의 API 액세스가 거부되는 경우에도 유용할 수 있습니다. 이는 운영 담당자에게 전송률 제한을 늘려야 한다는 신호를 보낼 수 있기 때문입니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 사용해 보기 Secure Code Warrior 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
리소스 부족과 속도 제한으로 인해 API 취약점은 제목에서 설명한 것과 거의 동일하게 작용합니다.모든 API는 환경에 따라 사용 가능한 리소스와 컴퓨팅 성능이 제한되어 있습니다.또한 대부분은 원하는 기능을 수행하도록 요청하는 사용자나 다른 프로그램의 요청을 처리해야 합니다.이 취약성은 동시에 너무 많은 요청이 들어오고 API에 이러한 요청을 처리할 수 있는 컴퓨팅 리소스가 충분하지 않을 때 발생합니다.그러면 API를 사용할 수 없게 되거나 새 요청에 응답하지 않을 수 있습니다.
속도 또는 리소스 제한이 올바르게 설정되지 않았거나 코드에 제한이 정의되지 않은 상태로 남아 있는 경우 API는 이 문제에 취약해집니다.그러면 예를 들어 비즈니스가 특히 바쁜 시기에 있을 경우 API에 과부하가 걸릴 수 있습니다.하지만 이는 보안 취약점이기도 합니다. 위협 행위자가 의도적으로 보호되지 않은 API에 요청을 과부하시켜 DDoS (서비스 거부) 공격을 수행할 수 있기 때문입니다.
그나저나, 지금까지의 API 게임화 과제는 어떻게 다루고 계신가요?속도 제한 취약점을 처리하는 기술을 지금 바로 시험해보고 싶다면, 다음 단계로 들어가 보세요.
이제 좀 더 깊이 들어가 보겠습니다.
리소스 부족 및 속도 제한 API 취약점의 몇 가지 예는 무엇입니까?
이 취약점이 API에 침투할 수 있는 두 가지 방법이 있습니다.첫 번째는 코더가 API의 스로틀 속도를 간단히 정의하지 않는 경우입니다.인프라 어딘가에 스로틀 속도에 대한 기본 설정이 있을 수 있지만, 이에 의존하는 것은 좋은 정책이 아닙니다.대신 각 API의 속도를 개별적으로 설정해야 합니다.API는 사용 가능한 리소스뿐만 아니라 기능도 크게 다를 수 있기 때문에 특히 그렇습니다.
예를 들어 소수의 사용자에게만 서비스를 제공하도록 설계된 내부 API는 스로틀 속도가 매우 낮고 제대로 작동할 수 있습니다.하지만 실시간 전자상거래 사이트의 일부인 공개 API의 경우 동시 사용자 급증 가능성을 상쇄하기 위해 예외적으로 높은 비율을 정의해야 할 가능성이 높습니다.두 경우 모두 예상 요구 사항, 잠재 사용자 수, 사용 가능한 컴퓨팅 파워를 기반으로 스로틀링 비율을 정의해야 합니다.
특히 사용량이 매우 많은 API의 경우 성능을 극대화하기 위해 속도를 무제한으로 설정하고 싶을 수 있습니다.간단한 코드만으로 이 작업을 수행할 수 있습니다 (예를 들어, 다음을 사용하겠습니다. 파이썬 장고 REST 프레임워크):
“기본_스로틀_속도: {
“캐논: 없음,
“사용자: 없음
이 예시에서는 익명 사용자와 시스템에 알려진 사용자 모두 시간 경과에 따른 요청 수에 관계없이 무제한으로 API에 접속할 수 있습니다.이는 좋지 않은 생각입니다. 왜냐하면 API가 사용할 수 있는 컴퓨팅 리소스가 아무리 많아도 공격자는 봇넷과 같은 것을 배포하여 결국 크롤링 속도를 늦추거나 아예 오프라인 상태로 만들 수 있기 때문입니다.이 경우 유효한 사용자의 액세스가 거부되고 공격은 성공할 수 있습니다.
리소스 부족 및 속도 제한 문제 해결
조직에서 배포하는 모든 API에는 코드에 스로틀 비율이 정의되어 있어야 합니다.여기에는 실행 제한 시간, 최대 허용 메모리, 사용자에게 반환할 수 있는 페이지당 레코드 수, 정의된 기간 내에 허용된 프로세스 수 등이 포함될 수 있습니다.
위의 예에서 볼 수 있듯이 스로틀링 비율을 그대로 두지 않고 익명 사용자와 알려진 사용자에 대해 서로 다른 요율로 엄격하게 정의할 수 있습니다.
“기본_스로틀_속도: {
“anon: 구성 (“스로틀_애논, 기본값=200/시간),
“사용자: 구성 (“스로틀_사용자, 기본값=5000/시간)
새 예제에서 API는 익명 사용자가 시간당 200건의 요청을 하도록 제한합니다.이미 시스템의 심사를 거친 알려진 사용자에게는 시간당 5,000건의 요청으로 더 많은 여유가 주어집니다.하지만 피크 타임에 발생하는 우발적인 과부하를 방지하거나 사용자 계정이 도용되어 서비스 거부 공격에 이용되는 경우를 보상하기 위한 목적으로도 제한적입니다.
마지막으로 고려해야 할 사항으로, 사용자가 스로틀링 한도에 도달하면 해당 제한이 재설정되는 시기에 대한 설명과 함께 사용자에게 알림을 표시하는 것이 좋습니다.이렇게 하면 유효한 사용자는 애플리케이션에서 요청을 거부하는 이유를 알 수 있습니다.이는 승인된 작업을 수행하는 유효한 사용자의 API 액세스가 거부되는 경우에도 유용할 수 있습니다. 이는 운영 담당자에게 전송률 제한을 늘려야 한다는 신호를 보낼 수 있기 때문입니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 사용해 보기 Secure Code Warrior 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
