취약점 진단 항목_OWASP Top 10

 

OWASP Top 10 이란 무엇인가?

Open Web Application Security Project(OWASP)에서 발표하는

웹 애플리케이션에서 가장 일반적인 보안 취약점 10가지를 설명하는 목록 (가이드)

 

2021년 가장 많은 취약순

 

A01:2021 - 손상된 액세스 제어

-> 허용하지 않는 경로로 접근할 수 있는 것 (경로 순회)

-> 권한이 없는 파일에 접근하는 

 

A02:2021 - 암호와 실패

- 약한 알고리즘을 사용해서 발생

- 암호에 약한 인코딩(URL, HTML, Base64)

- 민감한 정보가 일반 텍스트로 전송되는 경우

- 하드 코딩된 암호화 키

- 암호화 강도가 낮음

 

A03:2021 - injection (주로 SQL injection)

 

A04:2021 - 불안정한 디자인

- 설계 상의 문제

 

A05:2021 -잘못된 보안 구성

- 404 페이지를 띄우는 것도 취약점

 

A06:2021 - 취약하고 오래된 구성 요소

- 알려진 취약점이 있는 구성 요소 사용

 

A07:2021 - 식별 및 인증 실패

- (대표적) 부적절한 인증

 

A08:2021 - 소프트웨어 및 데이터 무결성 실패

- 신뢰할 수 있는 데이터만 설치하도록

 

A09:2021 - 보안 로깅 및 모니터링 실패

- 로그를 남기는 것 (1,2년 보관하는 것이 좋음)

- 모니터링 = 관제

 

A10:2021 - 서버 측 요청 위조(SSRF)

- 서버측 실행공격

- XXE(XML)

- 현재는 SSRF가 취약점이 거의 식별이 안되고 있음