내 앱에서 남의 데이터가 새는지 확인하는 보안 점검 도구
많은 앱은 사용자가 인했는지는 확인하지만, 요청한 데이터가 정말 그 사용자의 것인지는 놓칠 수 있다. 이런 경우 인한 사용자가 요청 안의 숫자나 식별값 하나만 바꿔도 다른 사람의 기록을 볼 수 있다. 겉으로는 정상 작동처럼 보이기 때문에 데모나 내부 에서는 쉽게 드러나지 않는다.
이 문제는 실제 서비스 침해 사고로 이어질 수 있는 흔한 API 이다. 새 베타 도구는 운영 중인 앱을 대상으로 이 문제가 있는지 검사한다. 결과는 어려운 용어 대신 어떤 요청에서 문제가 생겼는지, 그 의미가 무엇인지, 한 줄로 어떻게 고칠 수 있는지를 보여준다.
검사는 만 사용하므로 실제 사용자 데이터를 건드리지 않고 위험 여부를 확인한다. 현재는 여러 문제를 넓게 훑기보다, 사용자가 자기 소유가 아닌 데이터에 접근할 수 있는 한 가지 유형의 문제만 집중적으로 잡는다.
핵심 포인트
- 인 확인만으로는 충분하지 않고, 데이터 소유자 확인이 따로 필요하다.
- 요청 안의 숫자나 식별값을 바꿨을 때 다른 사람의 데이터가 보이면 심각한 문제다.
- 도구는 운영 중인 앱에서 이 문제를 검사한다.
- 검사는 만 써서 실제 사용자 데이터에 접근하지 않는다.
- 현재는 여러 이슈가 아니라 남의 데이터 접근 문제 하나에 집중한다.