fastapi (1) 썸네일형 리스트형 Redis로 분산 락 구현하기(feat. KISA 보안 취약점 방어) 이전 회사 재직 중 있었던 일이다.열심히 개발해서 배포한 지 얼마 되지 않은 API가 있었는데, KISA 취약점 결과에서 생각지도 못한 지적을 받게 되었다. 바로 ‘불충분한 반복 요청 제한’ 항목에서 취약점이 발견된 것이다."짧은 시간 내에 동일한 사용자가 API를 중복 호출할 경우, 서버가 이를 적절히 차단하지 않고 모두 수행함.”우리는 이미 Ingress나 API Gateway 레이어에서 IP 기반으로 초당 요청 수를 제한하고 있었다. 하지만 KISA의 지적은 그보다 더 깊은 애플리케이션 레벨의 문제였다. 공격자가 IP를 변조하거나, 혹은 로그인한 정상 사용자가 의도적으로 비즈니스 로직을 악용하기 위해 반복 요청을 보낼 때, 앞단의 IP 차단만으로는 방어가 부족하다는 것이었다.결국 특정 사용자가, 특.. 이전 1 다음
