본문 바로가기
카테고리 없음

OWASP TOP 10

배추의 미래 2020. 7. 4. 02:59

OWASP

Open Web Application Security Project에서 4년에 한 번씩 발표하는 웹 취약점 Top 10

 

 

  • Injection
더보기

SQL, OS, NoSQL, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리 문의 일부분이 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령어를 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다

  • 취약한 인증(Broken Authentication)
더보기

인증과 세션 관리와 관련된 애플리케이션의 비정상적인 동작으로 인해 패스워드, 키, 세션 토큰 및 사용자 도용과 같은 취약점을 발생시킨다

  • 민감한 데이터 노출(Sensitive Data Exposure)
더보기

대부분의 웹 애플리케이션과 API는 금융정보, 건강정보, 개인 식별정보와 같은 민감정보를 제대로 보호하지 않기 때문에, 개인정보 유출과 같은 취약점이 발생하고 있다. 브라우저에서 중요 데이터를 저장 또는 전송할 때, 특별히 주의하여야 하며 암호와 같이 보호조치를 취해야 한다

  • XML External Entities (XXE)
더보기

오래되거나 설정이 미흡한 XML 프로세서는 XML 문서 내에서 외부 개체 참조를 평가한다. 외부 개체는 파일 URI 핸들러, 내부 파일 공유, 포트 검색, 원격 코드 실행 및 서비스 거부 공격을 사용하여 내부 파일을 노출시키는 데 사용될 수 있다

  • 취약한 접근 통제(Broken Access control)
더보기

인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되지 않는 경우에 발생한다. 공격자는 이러한 결함을 악용하여 다른 사용자의 계정에 액세스 하거나 중요한 파일을 보거나 다른 사용자의 데이터를 수정하고 접근 원한을 변경하는 등의 작업을 수행한다

  • 잘못된 보안 구성(Security misconfigurations)
더보기

보안 설정 오류는 가장 흔한 이슈이다. 민감한 정보가 안전하지 않은 디폴트 설정, 불안전하거나 ad hoc설정, 잘못된 http 헤더 설정 등의 결과로 이 오류가 나타난다. 기본 보안 설정은 대부분 안전하지 않기 때문에, 기업에 맞게 최적화되어야 한다. 또한 소프트웨어는 최신 버전으로 관리되어야 한다

  • 크로스 사이트 스크립트 (XSS)
더보기

XSS 취약점은 어플리케이션이 올바른 유효성 검사 또는 필터링 처리 없이 새 웹 페이지에 실회할 수 없는 데이터를 포함하거나, 자바스크립트와 HTML을 생성하는 브라우저 API를 활용한 사용자 제공 데이터로 기존 웹 페이지를 업데이트할 때 발생합니다. XSS는 피해자의 브라우저에서 공격자에 의해 스크립트를 실행시켜

 

사용자 세션을 탈취할 수 있게 만들고, 웹 사이트를 변조시키고, 악성 사이트로 리다이렉션 할 수 있도록 허용합니다

 

신뢰할 수 없는 외부 값을 적절한 검증 없이 웹 브라우저로 전송하는 경우 방생되는 취약점으로, 사용자 세션을 가로채거나, 홈페이지 변조, 악의적인 사이트 이동 등의 공격을 수행할 수 있다

 

 

  • 안전하지 않은 역직렬화(Insecure Deserialization)
더보기

-직렬화 : 객체를 직렬 화하여 전송 가능한 형태로 만드는 것

-역직렬화 : 저장된 파일을 읽거나 전송된 스트림 데이터를 읽어 원래 객체의 형태로 복원하는 것

 

불안전한 역직렬화는 종종 원격코드 실행의 결과를 만들어 낸다. 역직렬화의 약점이 원격코드 실행의 결과를 못 만들더라도 재생, 인젝션, 권한상승 공격을 수행하는 데 사용될 수 있다

  • 알려진 취약점이 있는 구성요소 사용(Using Components with known vulnerabilities)
더보기

라이브러리, 프레임워크 및 다른 소프트웨어 모듈 같은 컴포넌트의 애플리케이션과 같은 권한으로 실행된다. 만약에 취약한 컴포넌트가 악용된 경우, 이는 심각한 데이터 손실을 일으키거나 서버가 장악된다. 알려진 취약점이 있는 구성 요소를 사용하는 어플레케이션과 API는 애플리케이션 방어를 약화시키고 다양한 공격과 영향을 줄 수 있다.

 

취약한 컴포넌트를 악용하여 공격하는 경우 심각한 데이터 손실이 발생하거나 서버가 장악된다. 알려진 취약점이 있는 구성 요소를 사용하는 애플리케이션과 API는 애플리케이션을 약화시키고 다양한 공격과 영향을 줄 수 있다

 

 

  • 불충분한 로깅과 모니터링(Insufficient logging and monitoring)
더보기

불충분한 로킹 및 모니터링은 사고 대응 누락 또는 비효율적인 통합과 함께 공격자가 시스템을 더 공격할 수 있다. 또한 지속적으로 유지되면 더 많은 시스템으로 피폿하고 데이터를 변조,추출 또는 파괴 할 수 있다.

 

참고 : 알기사 정보보안기사

티스토리툴바