OWASP TOP 10대 취약점 (2013, 2017)

[ OWASP 10 2013 vs OWASP 10 2017 ]

OWASP 10대 취약점 (2017)

1. 인젝션

- SQL, OS, XXE, LDAP 인젝션 등이 존재

- 데이터 명령이나 쿼리문의 일부분이 인터프리터로 보내질 때 발생

- 공격자가 악의적인 데이터 구문을 이용해 명령을 실행하거나 적절한 권한없이 비정상적으로 데이터에 접근하는 공격

2. 인증 및 세션 관리 취약점

- 인증이나 세션 관리 어플리케이션 기능이 잘못 구현되어 공격자에게 취약한 암호, 키 또는 세션 토큰을 제공

- 다른 사용자의 권한을 일시 또는 영구적으로 얻게 되는 취약점

3. 크로스 사이트 스크립팅 ( XSS : Cross Site Scripting )

- 어플리케이션이 적절한 유효성 검사 또는 이스케이프 처리(문자열처리)를 하지 않음

- 웹 페이지에 신뢰할 수 없는 데이터를 포함하거나 자바를 생성할 수 있는 API를 통해 사용자가 제공한 데이터로 업데이트

- 공격자가 희생자의 브라우저 사용자 세션을 도용하거나, 웹 사이트를 변조시키거나, 악성 사이트로 리다이렉션 시킴

- 공격 대상이 클라이언트

4. 취약한 접근 제어

- 인증된 사용자가 수행할 수 있는 작업에 대한 제한이 원활하게 적용되지 않음

- 공격자는 해당 결함을 악용하여 다른 사용자의 계정에 액세스하거나, 중요한 파일을 보고, 다른 사용자의 데이터를 수정 또는 삭제

5. 보안 설정 오류

- 바람직한 보안은 어플리케이션, 프레임워크, WAS, 웹 서버, DB 서버 및 플랫폼에 대한 보안 설정

- 설정을 정의, 구현 및 유지하며, 소프트웨어를 최신 버전으로 관리하지 않아 발생하는 취약점

6. 민감 데이터 노출

- 공격자가 신용 카드, 신분 도용 또는 다른 범죄를 수행하는 취약한 데이터를 훔치거나 변경할 수 있는 취약점

- 브라우저내에서 중요 데이터를 저장 또는 전송할 때, 노출되어 발생하는 취약점

7. 공격 방어 취약점

- 대부분의 어플리케이션 및 API는 수동 공격과 자동 공격을 모두 탐지, 방지 및 대응할 수 있는 기능이 없음

- 기본 입력 유효성 검사를 훨씬 뛰어넘어 자동 탐지, 로깅, 응답 및 공격 시도 차단을 원활하게 하지 않아 발생되는 취약점

8. 크로스 사이트 요청 변조 ( CSRF : Cross Site Request Forgery )

- 로그인된 피해자의 취약한 웹 어플리케이션에 피해자의 세션 쿠키와 기타 다른 인증 정보를 자동으로 포함해, 위조된 HTTP 요청

- 해당 악의적인 요청을 Client의 권한을 이용하여 정상적인 요청으로 보내 서버를 공격

- 공격 대상이 서버

9. 알려진 취약점 있는 컴포넌트 사용

- 컴포넌트, 라이브러리, 프레임워크 및 다른 소프트웨어 모듈은 어플리케이션과 같은 권한으로 실행

- 이러한 컴포넌트들을 악용하여 심각한 데이터 손실을 발생시키거나 서버를 장악함

- 알려진 취약점이 있는 구성 요소를 사용하는 어플리케이션 및 API는 어플리케이션을 약화시키며, 다양한 공격을 시도하는 취약점

10. 취약한 API

- 최신 어플리케이션 API(SOAP/XML/REST/JSON/RPC/GWT)에 연결되는 브라우저 및 모바일 어플리케이션의 자바 스크립트와 같은 여러 클라이언트 프로그래밍으로 어플리케이션 및 API가 포함

- 이러한 보호되지 않는 클라이언트 인증 방식 등과 같은 API를 통한 수 많은 취약점들을 포함