OWASP
OWASP(The Open Web Application Security Project)는 애플리케이션 보안 위협 10가지를 발표한다.
OWASP은 주로 웹 환경에서 발생할 수 있는 취약점(정보노출, 악성 파일 및 스크립트, 보안 취약점 등)을 연구한다. 이 여러가지 취약점 중 상위 10가지 위협에 대해 3~4년 주기로 발표한다.
2004년을 시작으로 2021년까지 6번 발표되었다.
2021년 OWASP Top 10
A01 - Broken Access Control(취약한 접근 통제)
과거에는 하나의 서비스 또는 시스템으로 소프트웨어를 구성하는 방식으로 애플리케이션을 구상했었다면,
현재 애플리케이션들은 상호독립적인 구성요소로 분할되는 방식으로 개발되는 경우가 많다.
따라서 기존에는 하나의 서비스에서 접근통제를 담당하였지만, 기능이 분할되면서 접근 통제에 어려움이 존재한다.
A02 - Cryptographic Failures(암호학적 실패)
2017년 이후 데이터 암호화와 관련된 이슈가 많았기 때문에 선정된 것으로 보인다.
A03 - Injection(인젝션)
Injection은 과거부터 SQL, NoSQL, 운영체제 명령어, ORM, LDAP, EL(Expression Languages) 등 다양한 취약점이 존재하였다.
A04 - Insecure Design(안전하지 않은 설계)
설계가 잘못된 애플리케이션은 추후 진행하는 보안테스트로 발견한 사항을 쉽게 조치할 수 없거나 위험성을 가지고 운영해야하는 경우들이 많기 때문에 새롭게 등장한 것으로 보인다.
A05 - Security Misconfiguration(보안 오류 설정)
안전하게 설계된 애플리케이션을 개발하더라도 테스트 및 디버깅을 위하여 옵션을 잘못 설정하는 경우가 다수 존재한다.
A06 - Vulnerable and Outdated Components(취약하고 오래된 컴포넌트)
오픈 소스를 기반으로 다양한 라이브러리와 컴포넌트들이 연결되는 애플리케이션의 경우 제공되는 라이브러리와 컴포넌트에 알려진 취약점이 존재할 수 있고, 이미 알려진 취약점들이 존재하는 컴포넌트를 사용함으로 인해 소프트웨어에 취약점들이 내포될 수 있다.
A07 - Identification and Authentication Failures(식별 및 인증 실패)
OWASP Top 10 - 2017에서 A02에 위치하던 Broken Authentication(취약한 인증)항목이 Identification and Authentication Failures(식별 및 인증 실패)라는 이름으로 변경되었으며, 해당 항목은 다섯 단계 하락하여 일곱 번째 위치(A07)로 이동했다.
A08 - Software and Data Integrity Failures(소프트웨어와 데이터 무결성 실패)
무결성을 증명하지 않은 소프트웨어 업데이트, 중요 데이터, CI/CD 파이프라인과 관련된 내용으로 CVE/CVSS 데이터에서 가장 가중치가 높은 데이터 중 하나이지만 위치에 변화는 없는 항목이다.
A09 - Security Logging and Monitoring Faulures(보안 로깅과 모니터링 실패)
로깅과 모니터링은 보안테스트를 하기 어려우며, CVE/CVSS 데이터에는 잘 나타나지 않는다. 하지만 이를 식별하고 분석할 수 있도록 하는 로깅과 모니터링은 중요한 요소이기 때문에 A09에 위치하고 있다.
A10 - Server Side Request Forgery(서버 사이드 요청 변조)
현재 데이터가 제대로 존재하지는 않지만 웹 어플리케이션 방화벽(WAF), 방화벽, 또는 네트워크 ACL이 보호하고 있는 시스템을 SSRF을 통해 공격가능하며 관련된 시나리오가 존재하고 다양한 취약점이 발현될 수 있어 새로 추가된 것으로 보인다.
참고자료
https://blog.alyac.co.kr/4135
http://www.igloosec.co.kr/BLOG_%ED%95%9C%EB%B0%9C%20%EC%95%9E%EC%84%9C%20%EC%82%B4%ED%8E%B4%EB%B3%B4%EB%8A%94%20OWASP%20Top%2010%202021%20(Draft)?bbsCateId=1
