2022.09.08
웹해킹.05
OWASP TOP 10
1. OWASP TOP 10?
1.OWASP TOP 10?
OWASP란?
웹취약점 등을 정기적으로 발표하는 비영리 조직
다른 취약점에 대한 연구를 지원하기도 하고 , 비영리라서 광고 없고 , 제품도 따로 없어 회비 또는 기부로 운영이 되고있다.
해당기구에서는 웹취약점 순위를 매겨서 가장 심각한 취약점 10개를 선정해서 3~4년 사이에 한번씩 발표하는데 그것이 OWASP TOP 10 이다.
세계에서 권위 있는 단체이기 때문에 해당 발표 내용들을 KISA와 같은 국내 기관들도 참조하여 보안 지침으로 한다.
OWASP TOP 10 2021
A.01 Broken Access Control
미숙한 접근통제
A.02 Crytographic Failures
암호화 실패
A.03 Injection
인젝션 (2021부턴 XSS도 포함)
A.04 Insecure Design
보안이 고려되지 않은 설계
A.05 Security Misconfiguration
잘못된 보안 설정
A.06 Vulnerable and Outdated Components
취약하고 오래된 요소 사용
A.07 Identification and Authentication Failures
로그인, 인증 문제
A.08 Software and Data Integrity Failures
데이터 무결성 훼손
A.09 Security Logging and Monitoring Failures
보안 로그 모니터링 실패
A.10 Server Side Request Forgery(SSRF)
스크립트를 활용한 요청 위조 공격
최근 OWASP TOP 10 2021 에서 발표된 내용이다. 인젝션은 대응 방법이 많이 알려져서 순위가 약간 내려갔지만 뚤렸을때 위험성이 워낙커 아직도 상위권을 차지하고 있는 모습이다
