AWS API Gateway에서 슬래시 추가로 인증 우회가 발견되었습니다.
보안 연구자는 AWS HTTP API 경로에 슬래시를 추가하면 Lambda 인증을 완전히 우회할 수 있음을 발견했습니다. 이로 인해 핀테크에서 인증되지 않은 송금이 가능해졌습니다. 문제의 근본 원인은 HTTP API의 경로 설정과 인증 계층 간의 불일치입니다. 유사한 취약점이 gRPC-Go에서도 발견되었습니다.
A trailing slash in AWS API Gateway allows bypass of Lambda authorizer authentication.
A security researcher found that appending a trailing slash to AWS HTTP API paths completely bypassed Lambda authorizer authentication. This vulnerability enabled unauthenticated wire transfers in a fintech application. The root cause lies in a mismatch of path normalization between the HTTP API's greedy route matching and its authorization layer. A similar vulnerability was identified in gRPC-Go as well.