Web 애플리케이션 보안을 위한 OWASP
| 번호 | 항목 | 내용 |
| 1 | Injection (주입) |
SQL, NoSQL, OS and LDAP 인젝션 같은 인젝션 결함은 신뢰할 수 없는 데이터가 명령이나 쿼리의 일부로서 인터프리터에 전달될 때 발생한다. 공격자의 악의적인 데이터는 인터프리터를 속여 의도하지 않은 명령을 실행시키거나, 적절한 권한없이 데이터에 접근할 수 있다. |
| 2 | Broken Authentication (깨진 인증) |
인증, 세션 관리와 관련된 애플리케이션 기능은 종종 부적절하게 수행된다. 공격자들이 패스워드, 키, 세션 토큰을 손상시키거나 다른 구현 결함을 익스플로잇 하도록 함으로써 다른 사용자의 특성을 일시적 혹은 영구적으로 맡는다. |
| 3 | Sensitive Data Exposure (민감한 데이터 노출) |
많은 웹 애플리케이션과 API들은 금융정보, 건강정보, PII 같은 민감한 데이터를 적절하게 보호하지 않는다. 공격자들은 그러한 취약한 데이터를 도용하거나 수정하여 신용카드 사기, 신원 도용 또는 기타 범죄를 수행할 수 있다. |
| 4 | XML External Entities (XXE) (XML 외부 독립체) |
많은 오래된, 부실하게 설정된 XML 프로세서들은 XML 문서 내의 외부 엔티티 참조를 평가한다. 외부 엔티티는 파일 URI 핸들러, 내부 파일 공유, 내부 포트 스캐닝, 원격 코드 실행, DOS 공격에 사용하여 내부 파일 노출에사용될 수 있다. |
| 5 | Broken Access Control (무너진 접근 제어) |
인증된 사용자가 사용하도록 허락된 제한들은 종종 적절히 강제되지 않는다. 공격자들은 이러한 결함을 익스플로잇해서, 다른 사용자 계정의 접근, 민감한 파일의 확인, 다른 사용자의 데이터 수정, 접근 권한 변경을 위해서 이러한 결함을 익스플로잇한다. 공격자는 이러한 결함을 이용하여 다른 사용자의 계정에 액세스하거나 중요한 파일을 보거나 다른 사용자의 데이터를 수정하거나 액세스 권한을 변경하는 등의 무단 기능 및/또는 데이터에 액세스할 수 있다. |
| 6 | Security Misconfiguration (잘못된 보안 구성) |
잘못된 보안구성인 가장 보편적으로 보여지는 이슈이다. 이것은 일반적으로 안전하지 않은 기본 설정, 불완전하거나 ad hoc 설정, 개방형 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 중요한 정보가 포함된 상세 오류 메시지의 결과다. 모든 OS, 프레임워크, 라이브러리, 애플리케이션이 안전하게 구성해야 할 뿐 아니라 그것들이 적절한 시기에 패치되고 업그레이드 되어야 한다. |
| 7 | Cross-Site Scripting (XSS) (크로스사이트 스크립팅) |
XSS 결함은 애플리케이션이 적절한 유효성 검사 혹은 이스케이핑이 없는 뉴스 웹 페이지 내의 신뢰할수 없는 데이터를 포함하거나, HTML 이나 javascript를 생성할 수 있는 브라우저 API를 사용하여 사용자 제공 데이터로 기존 웹 페이지를 업데이트할 때마다 발생한다. XSS는 공격자들이 희생자의 브라우저에서 스크립트를 실행할 수 있도록한다. 스크립트는 유저의 세션을 갈취하거나 웹 사이트를 디페이스하거나, 유저를 다른 사이트로 리다이렉트 시킬 수 있다. |
| 8 | Insecure Deserialization (안전하지 않은 역직렬화) |
안전하지 않은 역직렬화는 종종 원격 코드 실행을 유발한다. 비록 역직렬화 결함이 원격 코드 실행 결과를 일으키지 않더라도, 그것들은 리플레이 공격, 인젝션 공격 권한 상승 공격을 포함하는 플랫폼 공격에 사용될 수 있다. |
| 9 | Using Components with Known Vulnerabilities (알려진 취약점이 있는 구성요소 사용) |
라이브러리, 프레임워크 그리고 다른 소프트웨어 모듈같은 구성요소는 응용프로그램과 동일한 권한으로 실행될 수 있다. 만약, 취약한 구성요소가 익스플로잇 된다면, 그러한 공격은 심각한 데이터 손실, 서버 탈취를 촉진할 수 있다. 알려진 취약점이 있는 구성요소를 사용하는 애플리케이션과 API는 애플리케이션 디펜스(응용프로그램 방어)를 겪을 수 있고, 다양한 공격과 영향을 가능하게 한다. |
| 10 | Insufficient Logging & Monitoring (불충분한 로깅 & 모니터링) |
누락되거나 비효율적인 사고 대응과의 통합과 함께, 불충분한 로깅과 모니터링은 공격자가 공격 시스템을 발전시카고, 지속성을 유지하고, 더 많은 시스템으로 피벗하고 변조하고 추출하고 데이터를 파괴하도록 한다. 대부분 위반 연구는 위반을 탐지하는 데 걸리는 시간은 200일 이상이며, 일반적으로 내부 프로세스나 모니터링 보다는 외부 파티에 의해서 탐지된다. |
'자격증 > 정보기' 카테고리의 다른 글
| [OWASP 2017] 5. Broken Access Control (0) | 2021.02.28 |
|---|---|
| [OWASP 2017] 3. Sensitive Data Exposure (0) | 2021.02.28 |
| [OWASP 2017] 2. Broken Authentication (0) | 2021.02.28 |
| [OWASP 2017] 1. Injection (0) | 2021.02.28 |
| 용어숙지 NGAV, EDR (0) | 2021.02.26 |