[캡쳐 1] OWASP (https://owasp.org/)

1. OWASP TOP 10

- OWASP(Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트로, 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구

- OWASP에서 3~4년에 한번씩 10대 애플리케이션 취약점을 발표하며, 이것이 OWASP TOP 10

- 즉, 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정한 문서

2. OWASP TOP 10 2021 목록

[캡쳐 2] OWASP TOP 10 2021 (https://owasp.org/)

A01 : Broken Access Control (접근 권한 취약점)

- 접근 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책을 적용.

- 만약 엑세스 제어가 취약하면 사용자는 주어진 권한을 벗어나 모든 데이터를 무단으로 열람, 수정 혹은 삭제 등의 행위가 가능해짐

A02 : Cryptographic Failures (암호화 오류) 

- Sensitive Data Exposure(민감 데이터 노출)의 명칭이 변경.

- 적절한 암호화가 이루어지지 않으면 민감 데이터가 노출될 수 있음

A03: Injection (인젝션) 

- 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 취약점이 발생 

A04: Insecure Design (안전하지 않은 설계)

- 누락되거나 비효율적인 제어 설계로 표현되는 다양한 취약점을 나타내는 카테고리

- 안전하지 않은 설계와 안전하지 않은 구현에는 차이가 있지만, 안전하지 않은 설계에서 취약점으로 이어지는 구현 결함이 있을 수 있음.

A05: Security Misconfiguration (보안설정오류)

- 최신 보안기능이 비활성화 되거나 안전하지 않게 구성되었을 때 발생합니다.

- Ex) 애플리케이션 스택의 적절한 보안 강화가 누락되었거나 클라우드 서비스에 대한 권한이 적절하지 않게 구성되었을 때, 불필요한 기능이 활성화 되거나 설치되었을 때, 기본계정 및 암호화가 변경되지 않았을 때, 지나치게 상세한 오류 메세지를 노출할 때

A06: Vulnerable and Outdated Components (취약하고 오래된 요소) 

- 지원이 종료되었거나 오래된 버전을 사용할 때 발생

- 애플리케이션 뿐만 아니라, DBMS, API 및 모든 구성요소 들이 포함

A07: Identification and Authentication Failures (식별 및 인증 오류)

- Broken Authentication(취약한 인증)이 identification failures(식별 실패)까지 포함하여 더 넓은 범위를 포함할 수 있도록 변경.

- 사용자의 신원확인, 인증 및 세션관리가 적절히 되지 않을 때 취약점이 발생 가능

A08: Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)

- 2021년 새로 등장한 카테고리

- 무결성을 확인하지 않고 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인과 관련된 가정을 하는데 중점을 둠

A09: Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)

- Insufficient Logging & Monitoring(불충분한 로깅 및 모니터링) 이 Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)로 변경

- 로깅 및 모니터링 없이는 공격활동을 인지할 수 없음.

A10: Server-Side Request Forgery (서버 측 요청 위조)

- 2021년 새롭게 등장.

- SSRF는 웹 애플리케이션이 사용자가제공한 URL의 유효성을 검사하지 않고 원격 리소스를 가져올 때마다 발생.

- 공격자는 방화벽, VPN 또는 다른 유형의 네트워크 ACL(액세스 제어 목록)에 의해 보호되는 경우에도 응용 프로그램이 조작된 요청을 예기치 않은 대상으로 보내도록 강제할 수 있음.

'취약점 > OWASP TOP 10' 카테고리의 다른 글

A05: Security Misconfiguration (보안설정오류)  (0) 2022.09.13
A04: Insecure Design (안전하지 않은 설계)  (0) 2022.09.10
A03: Injection (인젝션)  (0) 2022.09.07
A02 : Cryptographic Failures (암호화 오류)  (0) 2022.09.05
A01 : Broken Access Control (접근 권한 취약점)  (0) 2022.09.02

+ Recent posts

티스토리툴바