Sans Top 25?
SANS와 미국 및 유럽의 여러 소프트웨어 보안 전문가 등에 의해 CW3/SANS TOP 25라는 이름으로 CWE에 등록된 1000여 개의 SW 취약점 중 소프트웨어 개발자가 가장 범하기 쉽고 위험한 25가지 SW 취약점 목록을 유형별로 분리해 놓은 것.
CWE? (Common Weakness Enumeration)
근본적, 원인 측면의 보안 약점을 의미하며 SW 소스적 특징에 의한 취약점이므로 갯수가 한계가 있으며
"CWE + (고유번호)"로 나타낸다
CVE? (Common Vulnerabilities and Exposure)
원인에 기반한 결과, 현상적 측면의 보안 취약점을 의미.
"CVE + (발견된 년도) + (고유번호)"로 나타낸다
| 순위 | ID | Name(한글) | Name(영어) | CWE 링크 |
|---|---|---|---|---|
| 1 | CWE-787 | 범위 외 쓰기 | Out-of-bounds Write | https://cwe.mitre.org/data/definitions/787.html |
| 2 | CWE-79 | 크로스사이트 스크립팅 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | https://cwe.mitre.org/data/definitions/79.html |
| 3 | CWE-89 | SQL Injection | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') | https://cwe.mitre.org/data/definitions/89.html |
| 4 | CWE-20 | 부적절한 입력값 검증 | Improper Input Validation | https://cwe.mitre.org/data/definitions/20.html |
| 5 | CWE-125 | 범위 외 읽기 | Out-of-bounds Read | https://cwe.mitre.org/data/definitions/125.html |
| 6 | CWE-78 | OS Command Injection | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') | https://cwe.mitre.org/data/definitions/78.html |
| 7 | CWE-416 | 메모리 해제 후 참조 | Use After Free | https://cwe.mitre.org/data/definitions/416.html |
| 8 | CWE-22 | 부적절한 디렉토리 경로 제한 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') | https://cwe.mitre.org/data/definitions/22.html |
| 9 | CWE-352 | CSRF | Cross-Site Request Forgery (CSRF) | https://cwe.mitre.org/data/definitions/352.html |
| 10 | CWE-434 | 부적절한 파일 업로드 유형 체크 | Unrestricted Upload of File with Dangerous Type | https://cwe.mitre.org/data/definitions/434.html |
| 11 | CWE-476 | 널포인터 의존성 | NULL Pointer Dereference | https://cwe.mitre.org/data/definitions/476.html |
| 12 | CWE-502 | 신뢰할 수 없는 데이터 역직렬화 | Deserialization of Untrusted Data | https://cwe.mitre.org/data/definitions/502.html |
| 13 | CWE-190 | 정수 오버플로우 또는 랩어라운드 | Integer Overflow or Wraparound | https://cwe.mitre.org/data/definitions/190.html |
| 14 | CWE-287 | 부적절한 인증 | Improper Authentication | https://cwe.mitre.org/data/definitions/287.html |
| 15 | CWE-798 | 하드 코딩된 자격 증명 | Use of Hard-coded Credentials | https://cwe.mitre.org/data/definitions/798.html |
| 16 | CWE-862 | 인증 누락 | Missing Authorization | https://cwe.mitre.org/data/definitions/862.html |
| 17 | CWE-77 | Command Injection | Improper Neutralization of Special Elements used in a Command ('Command Injection') | https://cwe.mitre.org/data/definitions/77.html |
| 18 | CWE-306 | 중요 함수에 대한 인증 누락 | Missing Authentication for Critical Function | https://cwe.mitre.org/data/definitions/306.html |
| 19 | CWE-119 | 메모리 버퍼 범위 내에서 부적절한 동작 제한 | Improper Restriction of Operations within the Bounds of a Memory Buffer | https://cwe.mitre.org/data/definitions/119.html |
| 20 | CWE-276 | 잘못된 기본 권한 | Incorrect Default Permissions | https://cwe.mitre.org/data/definitions/276.html |
| 21 | CWE-918 | SSRF | Server-Side Request Forgery (SSRF) | https://cwe.mitre.org/data/definitions/918.html |
| 22 | CWE-362 | 부적절한 동기화 환경에서의 공유 리소스 사용 | Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') | https://cwe.mitre.org/data/definitions/362.html |
| 23 | CWE-400 | 제어되지 않는 리소스 소비 | Uncontrolled Resource Consumption | https://cwe.mitre.org/data/definitions/400.html |
| 24 | CWE-611 | XML 외부 엔티티 참조의 잘못된 제한 | Improper Restriction of XML External Entity Reference | https://cwe.mitre.org/data/definitions/611.html |
| 25 | CWE-94 | Code Injection | Improper Control of Generation of Code ('Code Injection') | https://cwe.mitre.org/data/definitions/94.html |
CWE 링크로 들어가면 각 취약점마다 아래 요소들을 확인할 수 있습니다.
- 취약점 설명
- 대체 취약점 용어
- 다른 취약점 간 상관관계
- 영향이 있는 언어, 플랫폼
- 취약점 결과
- 공격 가능성
- 코드 예시
Emotional Developer