OWASP 2017 (Open Web Application Security Project)

* OWASP TOP 10 : 비영리기관으로, 4년 주기로 웹 관련 정보 노출, 악성코드, 취약점 등을 연구해 10대 취약점을 발표

 

 

* 분류

TOP 10	내용	대응 방안
1. 인젝션 (Injection)	비 신뢰 데이터가 명령어나 질의문에 포함되어 전송되어 오작동을 유도 (SQL Injection)	데이터와 명령어의 분리, 입력값 공통 필터링 적용
2. 취약한 인증 (Broken Authentication)	인증 및 세션 토큰, 관리 암호키 노출로 타인 권한을 획득 (Hijacking)	2Factor 인증, 패스워드 강화, Admin 계정 미사용
3. 민감한 데이터 노출 (Senstive Data Exposure)	금융, 건강, 개인식별 정보 등 취약한 데이터를 획득/변조 (Sniffing, MITM)	데이터 분류 및 통제, 암호화, Salt 기반 해시
4. XML 외부 개체 (XML External Entities, XXE)	XML 문서 내에서 외부 개체 참조 시, 내부 파일 공유, 원격 코드 실행 (외부 참조)	개발자 교육, 입력값 검증, JSON 처리, SOAP 1.2 이용
5. 취약한 접근 통제 (Broken Access Control)	작업에 대한 제한의 미적용으로 타 사용자 계정에 접근 (직접 접근)	ACL 구성, 접근 제어 감사
6. 잘못된 보안 구성 (Security Misconfiguration)	취약한 기본 설정, 에러 메세지 등 실수를 이용 (에러 노출)	안전한 설치, 불필요한 기능 최소화
7. XSS (Cross-Site Scripting)	브라우저에서 스크립트를 실행, 세션을 탈취/변조 (Reflected / Stored XSS)	XSS 자동 필터링 도구, 스마트 스크린, HTML & 인코딩 변환
8. 안전하지 않은 역직렬화 (Insecure Deserialization)	원격 코드 실행, 권한 상승, 재생 공격 등의 비 순차 공격 (주입, 재생공격)	직렬화된 객체 미허용, 원시 데이터 유형만 허용
9. 알려진 취약점이 있는 구성 요소 (Using Components with Known Vulnerability)	알려진 취약점을 악용 (CVE, CWE)	패치 관리 시스템, 불필요한 기능 제거, 구성 변경 모니터링
10. 불충분한 로깅 및 모니터링 (Insufficient Logging and Monitoring)	사고 시, 로그 정보 부족 및 관리가 되지 않아 추적 불가능 (개인 사업자 사이트)	통합 로그 관리 솔루션 - ESM - SIEM - NMS