OWASP(The Open Web Application Security Project)에서는 위험한 웹 애플리케이션 Top 10을 선정하여 발표한다.
2013년에서 2017년은 많은 변화가 있었으나 2020년은 2017년 발표한 것과 다른 부분이 보이지 않아 2017년 자료를 기준으로 작성하였다.
|
|
OWASP 10 |
|
|
1 |
인젝션 |
신뢰할 수 없는 데이터나 명령어가 쿼리문의 일부분으로 인터프리터로 보내질 때 발생 |
|
2 |
취약한 인증 |
암호, 키, 세션, 토큰을 노출시키거나 다른 사용자의 권환 획득을 위해 결함 악용 허용 |
|
3 |
민감한 데이터 노출 |
중요 데이터 저장 및 전송시 암호화하지 않을 때 |
|
4 |
XML 외부 개체(XXE) |
외부 개체 참조할시 외부개체가 내부 파일 공유, 포트 스캔, 원격 코드 실행, 서비스 거부 공격을 사용하여 내부 파일 공개할 수 있음 |
|
5 |
취약한 접근 통제 |
작업에 대한 제한이 제대로 되어있지 않을 때 |
|
6 |
잘못된 보안 구성 |
취약한 기본 설정, 미완성, 잘못 구성된 HTTP 헤더, 민감 정보가 포함 된 에러 메세지 등.. |
|
7 |
크로스 사이트 스크립팅(XSS) |
애플리케이션이 올바른 유효성 검사 또는 필터링 처리 없이 새 웹 페이지에 신뢰할수 없는 데이터 포함하여 전송하거나 브라우저 API를 활용한 사용자 제공 데이터로 기존 웹 사이트 업데이트 시 발생 |
|
8 |
안전하지 않은 역직렬화 |
안전하지 않은 역직렬화는 원격 코드 실행으로 권한 상승 공격, 주입 공격, 재생공격 등 수행 가능 |
|
9 |
알려진 취약점이 있는 구성요소 사용 |
애플리케이션 방어 약화 및 다양한 공격 가능성 |
|
10 |
불충분한 로깅 및 모니터링 |
사고 대응의 비효율적 통합, 공격의 지속성으로인해 많은 데이터를 변조 추출 파괴 할 수 있음 |
'전산직 준비 > 개념 정리' 카테고리의 다른 글
| [소프트웨어공학] 상속과 합성 (0) | 2021.01.07 |
|---|---|
| [자료구조론] 탐색구조 - AVL 트리 (2) | 2021.01.07 |
| [정보보호론] 구현 보안약점과 분석.설계 보안기준 관계 (0) | 2021.01.04 |
| [정보보호론]유닉스 명령어-3 (0) | 2021.01.03 |
| [정보보호론]유닉스 명령어-2 (0) | 2021.01.03 |
