1. OWASP

 

 Open Worldwide Applicatoin Security Project의 약어로 소프트웨어 보안을 개선하기 위해 노력하는 비영리 재단입니다.

 

OWASP OWASP Top 10이라는 애플리케이션의 보안을 강화하도록 도와주는 애플리케이션 보안 위협을 나열한 가이드라인을 제작합니다. 보안 위협은 끊임 없이 발전하기 때문에 OWASP Top 10 가이드 라인 또한 주지적으로 수정됩니다.

 

사이트 주소 - https://owasp.org/

 

OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation

OWASP Foundation, the Open Source Foundation for Application Security on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

owasp.org

 

2. OWASP Top 10 이란

 

<https://owasp.org/www-project-top-ten/>

개발자와 웹 애플리케이션 보안을 위한 표준 인식 문서입니다. 끊임 없이 진화하는 보안 위협에 맞춰 OWASP에서도 주기적으로 사진과 같이 특정 취약점들의 위험도는 내려가고, 다른 취약점들은 올라가는 등 수정이 됩니다.

 

 

3. OWASP Top 10 카테고리 소개

 

1) A01:2021-Broken Access Control

 

 사용자가 의도한 권한 밖에서 행동할 수 없도록 접근 제어로 보안 정책을 시행합니다. 하지만 접근 제어의 실패로 권한 없는 정보 노출, 정보 수정, 모든 데이터의 파괴를 할 수 있습니다.

 

 

2) A02:2021-Cryptographic Failures

 

 전송 그리고 저장되어 있는 데이터 보호의 필요성을 결심하는 것이 먼저입니다. 이런 데이터 보호의 기능이 잘못 구현이 되어 데이터 노출로 이어 집니다.

 

예를 들어:

-비밀번호, 신용 카드 번호, 건강 정보, 개인 정보, 그리고 회사 기밀 정보 이런 것들이 있습니다. 이 정보들이 암호화 실패를 했을 시 민감 데이터 노출로 이어집니다.

 

 

3) A03:2021-Injection

 

 공격자가 웹 응용프로그램에 잘못된 데이터를 보낼 때 발생합니다. 보통 injection 종류로는 SQL, NoSQL, OS command, ORM(Object Relational Mapping), LDAP, EL(Expression Language), OGNL(Object Graph Navigation Library) 가 있습니다.

 

 

4) A04:2021-Insecure Design

 

 누락되거나 비효율적인 제어 설계로 표현되는 다양한 약점을 나타내는 광범위한 범주입니다.

 

 

5) A05:2021-Security Misconfiguration

 

 잘못된 보안 구성으로 인해 이런 구성에서 취약점이 발생하는 것 입니다.

 

예를 들어:

-클라우드 서비스에서 권한이 부적절하게 되어 있거나 애플리케이션 스택 어느 부분에서도 적절한 보안이 되어 있지 않을 때입니다.

-불필요한 기능이 활성화 되어 있거나 설치가 되어 있을 때입니다.

-기본 계정 및 암호는 여전히 사용하며 변경하지 않았을 때입니다.

 

 

6) A06:2021-Vulnerable and Outdated Components

 

-사용하는 모든 구성 요소의 버전을 모르는 경우입니다.

-소프트웨어가 취약하거나 지원이 되지 않거나 오래 되었을 경우 OS, /애플리케이션 서버, DBMS, 애플리케이션, APIs그리고 모든 구성 요소, 런타임 환경 및 라이브러리가 포함 됩니다.

 

 

7) A07:2021-Identification and Authentication Failures

 

 사용자의 신원 확인, 인증 및 세션 관리는 인증 관련 공격으로부터 보호하는데 중요합니다.

 

 

8) A08:2021-Software and Data Integrity Failures

 

 소프트웨어 및 데이터 무결성 실패는 무결성 위반으로부터 보호하지 않는 코드 및 인프라와 관련이 있습니다.

예를 들어:

애플리케이션이 신뢰할 수 없는 소스, 저장소 및 컨텐츠 전송 네트워크의 플러그인 등 모듈에 의존하는 경우가 있습니다. 이런 안전하지 않은 CI/CD 파이프라인은 무단 액세스, 악성 코드 또는 시스템 손상의 가능성을 초래할 수 있습니다.

 

 

9) A09:2021-Security Logging and Monitoring Failures

 

로깅과 모니터링을 통해서 활성 침해 탐지, 확대 및 대응을 해야 하지만 하지 않는 다면 심각한 위협으로 다가 올수 있습니다.

 

 

10) A10:2021-Server-Side Request Forgery

 

 SSRF는 웹 애플리케이션 사용자가 제공한 URL을 검증하지 않고 원격 리소스를 가져올 때 발생합니다. 최근 들어 웹 애플리케이션이 최종 사용자에게 편리한 기능을 제공함에 따라 URL을 가져오는 것이 일반적인 시나리오가 되었기 때문에 SSRF의 발생률이 증가하고 있습니다.

'기술 노트 > security' 카테고리의 다른 글

[WEB]CSRF란  (0) 2024.08.12
[WEB]XSS 정리  (0) 2024.08.09
민감 데이터 노출 간단히 정리  (0) 2024.06.04
세션 / 쿠키 / JWT token 간단하게 정리  (0) 2024.05.13
SQL Injection을 하기 위한 간단한 정리  (0) 2024.05.13

+ Recent posts

티스토리툴바