[웹] OWASP TOP 10 (2017)란?

OWASP?

OWASP(The Open Web Application Security Project) : 2004년 부터 현재까지 3~4년에 한번씩, 주로 웹에 관한 취약점 중에서 빈도,위협 등을 기준으로 영향력 TOP10을 선정하여 발표 하고 있는 보안 프로젝트입니다. 

OWASP Top 10 2017.pdf

1.83MB

 

#2013년도와 2017년도 비교 

OWASP는 주로 3~4년 주기로 발표가 되고. 오늘자 기준(20.9.3)으로 2017년이 최근 문서입니다.

2017년에 A7, A10이 새롭게 추가되었고, 2013년도의 A4, A7이 합쳐져서 2017년도의 A5가 되었습니다.

 

#OWASP TOP 10 2017년도 RC1 과 RC2 비교 

owasp top 10 2017 RC2

가장 최근에 발표된 2017년 RC1과 RC2입니다 총 3가지의 변경점이 있었는데요
1.XML 외부 개체
2.안전하지 않은 역직렬화
3.불충분한 로깅 및 모니터링 이 주요 변경점 입니다.

 

OWASP TOP 10 표 (2017)

RC2의 각 취약점 마다의 각각 설명 표 입니다. 

# A1 : 인젝션 ( Injection )


ㆍ SQL, OS, XXE, LDAP 등의 방법을 통해 코드를 주입하여 발생 시키는 취약점

ㆍ 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 발생

ㆍ 공격자의 악의적인 데이터는 예기치 않은 명령을 실행하거나 올바른 권한 없이 데이터에 접근하도록 인터프리터를 속임

대책 : 인터프리터 사용을 피하거나 매개변수화된 인터페이스를 제공하는 안전한 API를 사용하거나 ORMs 툴을 사용하도록 마이그레이션

# A2 : 취약한 인증 ( Broken Authentication )


ㆍ 인증 및 세션 관리와 관련된 어플리케이션 기능이 종종 잘못 구현되어 발생하는 취약점

ㆍ 공격자들이 암호, 키, 세션 토큰을 위험에 노출시킬 수 있거나 일시적 또는 영구적으로 다른 사용자의 권한 획득을 위해 구현상 결함을 악용하도록 허용

대책 : 다중인증을 구현하여 자동화된 계정 정보 삽입,  무차별 공격, 탈취된 계정 정보 재사용 공격을 예방

# A3 : 민감한 데이터 노출 ( Sensitive Data Exposure )


ㆍ 중요데이터가 암호화 되지 않고 전송될 때 데이터를 탈취하거나 보호가 취약한 데이터를 훔쳐서 발생할 수 있는 취약점

ㆍ 공격자가 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하기 위해 보호가 취약한 데이터를 훔치거나 수정하여 사용자 또는 관리자에게 피해를 입힘

대책 : 애플리케이션에서 사용하는 데이터를 처리, 저장, 전송으로 분류합니다. 개인정보 보호법, 법률, 업무 필요에 따라 어떤 데이터가 민감한지 파악

# A4 : XML 외부 개체 ( XXE : XML External Entities )


ㆍ 웹에서 활용되는 외부 개체는 파일 URI 처리기, 내부 파일 공유, 내부 포트 스캔, 원격 코드 실행과 서비스 거부 공격을 사용하여 내부 파일을 공개하는데 활용

ㆍ XML 문서의 외부 개체를 확인하는 과정에서 발생하는 취약점

대책 : 가능할 때마다, JSON과 같은 덜 복잡한 데이터 형식을 사용하거나 민감한 데이터를 지양합니다.

# A5 : 취약한 접근 통제 ( Broken Access Control )


ㆍ 인증된 사용자가 수행할 수 있는 작업에 대한 제한이 적용되어 있지 않은 점을 이용한 취약점

ㆍ 권한이 없는 다른 사용자 계정에 접근, 다른 사용자의 데이터 수정, 접근 등의 기능 수행

대책 : 불특정 다수에게 공개된 자원을 제외하곤 디폴트 정책은 차단으로 운영


# A6 : 잘못된 보안 구성 ( Security Misconfiguration )


ㆍ 취약한 기본 설정, 미완성, 개방된 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 민감한 정보가 포함된 에러 메시지로 인한 결과

ㆍ 모든 운영체제, 프레임워크, 라이브러리와 어플리케이션을 안전하게 설정 필요

ㆍ 적절한 패치와 업그레이드 진행이 필요

대책 : 불필요한 기능, 구성 요소, 문서, 샘플 애플리케이션 없이 최소한으로 플랫폼을 유지하고 사용하지 않는 기능과 프레임워크는 삭제

# A7 : 크로스 사이트 스크립팅 ( XSS : Cross-Site Scripting )


ㆍ 자바스크립트와 HTML을 생성하는 브라우저 API를 활용한 공격

ㆍ 주로 웹페이지를 업데이트 할 때 발생

ㆍ 사용자 세션 탈취, 웹 사이트 변조, 악성 사이트로 리다이렉션 등의 공격을 수행 가능

대책 : 최신 Ruby on Rails, React JS와 같이 XSS를 자동으로 필터링 처리하는 프레임워크를 사용


# A8 : 안전하지 않은 역직렬화 ( Insecure Deserialization )


ㆍ 객체 및 데이터 구조를 이용하여 발생하는 취약점

ㆍ 데이터 변경을 이용하여 접근 통제 우회, 크로스사이트 스크립트 공격 등의 공격 가능

대책 : 악성 객체 생성이나 데이터 변조를 방지하기 위해 직렬화된 객체에 대한 디지털 서명과 같은 무결성 검사를 구현


# A9 : 알려진 취약점이 있는 구성요소 사용 ( Using Components with Known Vulnerabilities )


ㆍ 취약한 컴포넌트를 이용하여 발생한 취약점

ㆍ 어플리케이션 방어를 약화시키거나 다양한 공격과 영향을 끼칠 가능성이 존재

대책 : 사용하지 않는 종속성, 불필요한 기능, 구성 요소, 파일과 문서 등을 제거

# A10 : 불충분한 로깅 & 모니터링 ( Insufficient Logging & Monitoring )


ㆍ 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자들이 시스템을 공격하고 지속성을 유지할만한 기회를 제공

ㆍ 더 많은 시스템을 중심으로 공격할 수 있게 하며, 데이터를 변조, 추출 또는 파괴할 수 있는 가능성 제공

대책 : 모든 로그인, 접근 통제 실패, 그리고 서버 측면의 입력값 검증 실패 등이 의심스럽거나 악의적인 계정을 식별할 수 있는 충분한 사용자 문맥으로 기록될 수 있는지 확인

#2017년 이후의 새로운 OWASP의 운영 계획은?

 

 

OWASP Top 10은 현재 보안 시장에서 반 이상을 차지 하고 있는 웹 , 어플리케이션을 인식 할 수 있는 확실한 지표가 되어 줍니다. 만약 이러한 분야에 관심이 있으시다면 해당 문서를 참고 하시는게 큰 도움이 되실 것입니다.

20.11.05 OWASP TOP 10 2020은 어떻게 되었나요? => comg5050.tistory.com/30