I. OWASP (Open Web Application Security Project) 의 정의
- 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 10대 웹 애플리케이션의 취약점을 발표
II. OWASP TOP 10의 정의
- 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고 보안상 영향을 크게 줄 수 있는 것들을 10가지 선정하여 2004년, 2007년, 2010년, 2013년, 2017년, 2021년 기준으로 발표되었고 문서가 공개되었다.
III. 2021년 OWASP TOP 10
가. 2021년 OWASP TOP 10의 변경 영역
 |
- 3개의 새로운 카테고리, 명명 및 범위 변경이 있는 4개의 카테고리가 2021년 TOP 10에 일부 통합
나. 2021년 OWASP TOP 10 설명
| OWASP TOP 10 (Eng) | OWASP TOP 10 (Kor) | 설명 |
| A01 : Broken Access Control | 접근 권한 취약점 | - 엑세스 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책을 시행 - 엑세스 제어 취약시 사용자는 주어진 권한을 벗어나 모든 데이터를 무단으로 열람, 수정 혹은 삭제 등의 행위 가능 |
| A02 : Cryptographic Failures | 암호화 오류 | - Sensitive Data Exposure(민감 데이터 노출)의 명칭이 2021년 Cryptographic Failures(암호화 오류)로 변경 - 적절한 암호화가 이루어지지 않으면 민감 데이터 노출 가능 |
| A03: Injection | 인젝션 | - SQL, NoSQL, OS 명령, ORM(Object Relational Mapping), LDAP, EL(Expression Language) 또는 OGNL(Object Graph Navigation Library) 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 취약점이 발생 |
| A04: Insecure Design | 안전하지 않은 설계 | - Insecure Design(안전하지 않은 설계)는 누락되거나 비효율적인 제어 설계로 표현되는 다양한 취약점을 나타내는 카테고리 - 안전하지 않은 설계와 안전하지 않은 구현에는 차이가 있지만, 안전하지 않은 설계에서 취약점으로 이어지는 구현 결함 가능 |
| A05: Security Misconfiguration | 취약하고 오래된 요소 | - 애플리케이션 스택의 적절한 보안 강화가 누락되었거나 클라우드 서비스에 대한 권한이 적절하지 않게 구성되었을 때, 불필요한 기능이 활성화 되거나 설치되었을 때, 기본계정 및 암호화가 변경되지 않았을 때, 지나치게 상세한 오류 메세지를 노출할 때, 최신 보안기능이 비활성화 되거나 안전하지 않게 구성되었을 때 발생 |
| A06: Vulnerable and Outdated Components | 취약하고 오래된 요소 | - 취약하고 오래된 요소는 지원이 종료되었거나 오래된 버전을 사용할 때 발생 - 애플리케이션 뿐만 아니라, DBMS, API 및 모든 구성요소 들이 포함 |
| A07: Identification and Authentication Failures | 식별 및 인증 오류 | - Broken Authentication(취약한 인증)으로 알려졌던 해당 취약점은 identification failures(식별 실패)까지 포함하여 더 넓은 범위를 포함할 수 있도록 변경 - 사용자의 신원확인, 인증 및 세션관리가 적절히 되지 않을 때 취약점이 발생 가능 |
| A08: Software and Data Integrity Failures | 소프트웨어 및 데이터 무결성 오류 | - 2021년 새로 등장한 카테고리로 무결성을 확인하지 않고 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인과 관련된 가정을 하는데 중점 |
| A09: Security Logging and Monitoring Failures | 보안 로깅 및 모니터링 실패 | - Insufficient Logging & Monitoring(불충분한 로깅 및 모니터링) 명칭이었던 카테고리가 Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)로 변경 - 로깅 및 모니터링 없이는 공격활동을 인지 불가 가능 - 이 카테고리는 진행중인 공격을 감지 및 대응에 도움 |
| A10: Server-Side Request Forgery | 서버 측 요청 위조 | - 2021년 새롭게 등장 - SSRF 결함은 웹 애플리케이션이 사용자가 제공한 URL의 유효성을 검사하지 않고 원격 리소스를 가져올 때마다 발생 - 공격자는 방화벽, VPN 또는 다른 유형의 네트워크 ACL(액세스 제어 목록)에 의해 보호되는 경우에도 응용 프로그램이 조작된 요청을 예기치 않은 대상으로 보내도록 강제 가능 |
반응형
'IT기술노트 > 디지털보안' 카테고리의 다른 글
| 2023년 개인정보 7대 이슈 (0) | 2023.02.23 |
|---|---|
| 키 스트레칭(Key Stretching) (0) | 2022.12.09 |
| 정보보호 공시제도 (0) | 2022.04.07 |
| Log4shell (CVE-2021-44228) (0) | 2021.12.12 |
| 토르 네트워크(Tor Network) (0) | 2021.11.17 |
| 동형암호 (Homomorphic Encryption, HE) (0) | 2021.08.19 |
| ASLR (Address Space Layout Randomization) (0) | 2021.06.24 |
| 가명정보 결합방식 (0) | 2021.06.11 |
댓글