A Trailing Slash Bypassed AWS API Gateway Authorization

AWS HTTP API Gateway에서 경로 끝에 슬래시(`/`)를 추가하는 것만으로 Lambda Authorizer 인증을 완전히 우회할 수 있는 보안 취약점이 발견됐다. 근본 원인은 HTTP API의 **greedy route matching**과 인가(Authorization) 레이어 간의 **경로 정규화(path normalization) 불일치**로, 라우팅은 요청을 정상 처리하지만 인가 검증은 건너뛰는 상황이 발생한다. 동일한 취약점 유형이 gRPC-Go에서도 CVE-2026-33186로 확인된 만큼, API Gateway나 미들웨어 기반 인가 구조를 설계할 때는 경로 정규화가 라우팅과 인가 레이어 모두에서 일관되게 적용되는지 반드시 검증해야 한다.

본 기사는 InfoQ의 내용을 기반으로 AI가 백엔드 개발자 관점에서 자동 요약한 스크랩입니다. 카테고리는 백엔드 분야에 해당하며, 관련 분야의 최신 동향 파악을 위해 매일 자동 수집됩니다.

Source
InfoQ
원문 보기 →
← 목록으로 돌아가기