OWASP TOP 10
TOP 10은 웹 애플리케이션의 보안 취약점 중 가장 흔하고 치명적인 10가지를 선정한 리스트이고
OWASP는 웹 애플리케이션 보안 향상을 목표로 하는 비영리 단체로,
주기적으로 TOP 10 리스트를 업데이트하여 보안 전문가와 개발자들에게 유용한 정보를 제공한다.3~4년 주기로 새로운 TOP10을 발표한다.
OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation
OWASP Foundation, the Open Source Foundation for Application Security on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
owasp.org
현재 이 글을 작성하는 날짜 기준으로 가장 최근 공개된 것이 2021년도 기준이었다.
공식사이트를 보면 2017년 → 2021년 순위가 바뀐 것을 볼 수 있다.
바뀐 순서를 알아보면
A01:2021-Broken Access Control
비인가 사용자가 민감한 데이터나 기능에 접근할 수 있는 취약점, 올바른 접근 통제를 통해 민감한 자원을 보호해야 한다
A02:2021-Cryptographic Failures
민간한 데이터를 적절히 암호화하지 않거나, 약한 암호화 알고리즘을 사용하는 경우, 강력한 암호화 알고리즘과 프로토콜을 사용해야 한다.
SQL, NoSQL, OS 명령어, LDAP 등을 통한 인젝션 공격으로 발생하는 취약점, 입력값 검증과 쿼리 파라미터화를 통해 예방할 수 있다.
보안을 고려하지 않고 설계된 애플리케이션으로 인한 취약점, 보안 설계 패턴과 위협 모델링을 통해 예방할 수 있다.
A05:2021-Security Misconfiguration
잘못된 보안 설정이나 디폴트 설정을 그대로 사용하는 경우, 모든 설정을 검토하고 최소 권한 원칙을 적용해야 한다.
A06:2021-Vulnerable and Outdated Components
업데이트되지 않은 소프트웨어 컴포넌트로 인해 발생하는 취약점, 정기적인 업데이트와 신뢰할 수 있는 소스에서의 컴포넌트 사용이 필요 하다.
A07:2021-Identification and Authentication Failures
인증 과정의 결함으로 인해 발생하는 취약점, 강력한 인증 메커니즘과 다중 인증(MFA)을 도입해야 한다.
A08:2021-Software and Data Integrity Failures
신뢰할 수 없는 소스의 소프트웨어 사용이나 데이터 무결성 검증 부족으로 인한 취약점, 디지털 서명과 무결성 검증을 통해 예방할 수 있다.
A09:2021-Security Logging and Monitoring Failures
보안 이벤트를 적절히 로그하지 않거나 모니터링하지 않는 경우, 철저한 로깅과 실시간 모니터링 시스템을 구축해야 한다
A10:2021-Server-Side Request Forgery
서버가 외부 리소스를 요청할 때 발생하는 취약점으로, 입력값 검증과 방화벽 규칙 강화를 통해 예방할 수 있다
'해킹&보안 > 웹 & 앱' 카테고리의 다른 글
| 모의해킹 실습1 [비밀 관리 서버 침투] (0) | 2024.08.10 |
|---|---|
| SQL Injection (0) | 2024.08.02 |
| XSS (0) | 2024.07.31 |
| 쿠키&세션 (0) | 2024.07.30 |
| 취약점 (vulnerability) (0) | 2024.05.27 |
