API가 대용량 페이로드에 대해 400을 반환하나요? 축하합니다. 당신은 이제 정중한 DoS 게이트웨이를 만들었습니다.

Source: Dev.to

오버사이즈 페이로드에 대해 400을 반환하는 문제점

클라이언트가 거대한 요청 본문을 보낼 때, 많은 API가 다음과 같이 응답합니다:

400 Bad Request

이 응답은 오해를 불러일으킵니다. 오버사이즈 페이로드는 413 Payload Too Large 로 거부되어야 하며, 이는 요청 크기가 서버 제한을 초과했음을 명확히 알려줍니다. 400을 반환하면 데이터 자체에 문제가 있다고 생각하게 만들 뿐, 크기에 문제가 있음을 알리지 못합니다.

잘못된 상태 코드를 사용할 경우의 결과

서버가 이미 요청 처리를 시작한 뒤 400을 반환하면 이미 다음과 같은 작업을 수행했을 수 있습니다:

• CPU와 메모리 자원 소모
• 데이터베이스 연결 열기
• 기타 비용이 많이 드는 작업 수행

동시에 여러 개의 오버사이즈 요청이 들어오면, 누적 효과로 단순 검증 오류가 서비스 거부(DoS) 상황으로 이어질 수 있습니다.

Rentgen의 대용량 페이로드 테스트

이 종류의 버그를 잡기 위해 Rentgen은 대용량 페이로드 테스트를 포함합니다:

• 유효한 요청을 가져와 본문 크기만 부풀립니다.
• JSON 구조와 헤더는 올바르게 유지합니다.
• 크기 경계에서 즉시 413 응답을 기대합니다.

다른 응답이 나오면 서버가 불필요한 작업을 수행하고 있다는 신호입니다.

실제 사례

이 문제는 ChatGPT API에서 발견되었습니다. 오버사이즈 페이로드가 잘못 처리되었고, 보고 후 하루 만에 버그가 수정되었습니다. 이는 올바른 처리가 얼마나 중요한지를 보여줍니다.

이 버그가 지속되는 이유

• 인간의 가정: 개발자들은 일반적인 오류 코드면 충분하다고 생각합니다.
• 규율 부족: 적절한 상태 코드는 간단하고 “지루한” 수정이지만, 더 큰 문제를 예방합니다.

간단한 해결책

• 허용된 크기를 초과하는 요청에 대해 413 Payload Too Large 를 반환합니다.
• 본문을 처리하기 전에 요청을 조기에 거부하도록 서버를 구성합니다.

요약

일관되게 413을 반환하는 것은 엄격함을 위한 것이 아니라 책임감 있는 행동입니다. 대용량 페이로드를 올바르게 처리하면 불필요한 자원 소모를 방지하고 API를 우발적인 DoS 공격으로부터 보호할 수 있습니다.

전체 이야기 및 기술 분석: https://rentgen.io/api-stories/large-payload-handling.html