취약하고 오래된 구성 요소(Vulnerable and Outdated Components)는 취약한 버전이나 EoS, EoL(기술 지원 종료)인 소프트웨어를 계속 사용하는 경우 발생가능한 유형이다. 서비스를 구성하는 모든 요소(OS, WEB, DB, API 등)가 영향을 받는다.
대응방안으로는, 형상관리를 통해 불필요한 서비스를 제거하고, 버전 정보를 확인하여 최신 버전으로 업데이트를 적용한다. 또한, 모니터링을 통해 취약점이 발생한 버전을 확인하여 조치한다. 추가적으로, 애플리케이션 또는 포트폴리오의 수명 주기 동안 업데이트 또는 구성 변경을 모니터링, 분류 및 적용하기 위한 지속적인 계획을 수립해야 한다.
취약점 유형
기술 지원 종료된 OS를 사용하는 경우
취약점이 존재하는 애플리케이션, 프레임워크, 라이브러리 등을 사용하는 경우
공격 시나리오
취약한 버전의 아파치 스트럿츠 2(Apache struts 2)를 사용하고 있는 경우, 원격의 공격자가 서버를 공격해 원격코드를 실행할 수 있다.
대응방안
불필요한 소프트웨어나 서비스, 기능, 문서 등 제거
패치 관리, 형상 관리 프로세스 정립 - 소프트웨어 버전 확인 및 업그레이드
취약점 모니터링을 통한 취약한 소프트웨어 사용 유무 확인
'취약점 > OWASP TOP 10' 카테고리의 다른 글
| A08: Software and Data Integrity Failures (소프트웨어 및 데이터 무결성 오류) (0) | 2022.10.18 |
|---|---|
| A07: Identification and Authentication Failures (식별 및 인증 실패) (0) | 2022.10.18 |
| A05: Security Misconfiguration (보안설정오류) (0) | 2022.09.13 |
| A04: Insecure Design (안전하지 않은 설계) (0) | 2022.09.10 |
| A03: Injection (인젝션) (0) | 2022.09.07 |