OWASP Top 10 Client-Side Security Risks는 브라우저(클라이언트)에서 실행되는 코드—HTML, CSS, JavaScript, Web Assembly 등—를 대상으로 한 주요 보안 위협을 정리한 가이드입니다. 클라이언트 측 특유의 위험을 명확히 인식하고 대응하도록 돕기 위한 문서입니다.
원문은 OWASP 공식 페이지에서 확인할 수 있습니다.
| 코드 | 항목명 | 설명 |
|---|---|---|
| 1. Broken Client-side Access Control | 클라이언트 측 접근 제한의 부재 | JavaScript 로직을 통한 비인가 접근, DOM 조작 등에 취약 |
| 2. DOM-based XSS | DOM 기반 Cross-Site Scripting | 사용자 입력이 DOM을 통해 스크립트로 실행되는 취약점 (서버 비개입) |
| 3. Sensitive Data Leakage | 민감 데이터 유출 | 트래커, 픽셀 등을 통한 개인정보 노출 및 법적 리스크 |
| 4. Vulnerable and Outdated Components | 취약/오래된 라이브러리 사용 | 클라이언트 측 라이브러리에 알려진 취약점 포함 가능성 |
| 5. Lack of Third-party Origin Control | 서드파티 출처 제어 부족 | 외부 코드가 사이트의 도메인 데이터에 접근할 수 있는 위험 |
| 6. JavaScript Drift | JS 코드 변화 감지 실패 | 타사 코드 또는 스크립트 변경 여부를 모니터링하지 않음 |
| 7. Sensitive Data Stored Client-Side | 클라이언트 측 민감 정보 저장 | LocalStorage 등 브라우저 저장소에 암호·토큰·개인정보 저장 |
| 8. Client-side Logging & Monitoring Failures | 클라이언트 로깅/모니터링 부실 | 동적 페이지 구성 시 클라이언트 오류나 이상 동작이 감지되지 않음 |
| 9. Not Using Standard Browser Security Controls | 브라우저 보안 기능 미활용 | CSP, iframe sandbox, Subresource Integrity 등 미적용 |
| 10. Including Proprietary Information on the Client-Side | 민감 비즈니스 정보 노출 | 소스 코드에 알고리즘, 개발자 코멘트, 기밀 정보 포함 |
https://owasp.org/www-project-top-10-client-side-security-risks/