안녕들 하시죠 !
오늘은 OWASP Top 10 에 대해 알아보겠습니다.
OWASP(The Open Web Application Security Project)
2004년 부터 현재까지 3~4년에 한번씩 주로 웹에 관한 취약점 중에서 빈도가 많이 발생하고, 보안상 위협을 크게 줄 수 있는 것들을 10가지 선정하여 Top 10 으로 발표하고있는 보안프로젝트입니다.
아래에 한글버전을 pdf파일로 올렸으니 필요하신분 가져가세요.
OWASP Top 10 2010.pdf
위에 있는 이미지를 보시면 2017년도의 Top 10 항목들은 2013년도 항목에 추가되거나 변화된것들이 보입니다.
그만큼 정보보호 분야는 급변하기 때문에 계속 공부 해야하는 필요성을 느꼈습니다.
특이한 점은 인젝션, 크로스 사이트 스크립팅(XSS) 항목은 2010년부터 쭉 상위권을 지키고있습니다.
A1 : 인젝션 ( Injection )
ㆍ SQL, OS, XXE, LDAP 등의 방법을 통해 코드를 주입하여 발생 시키는 취약점
ㆍ 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 발생
ㆍ 공격자의 악의적인 데이터는 예기치 않은 명령을 실행하거나 올바른 권한 없이 데이터에 접근하도록 인터프리터를 속임
A2 : 취약한 인증 ( Broken Authentication )
ㆍ 인증 및 세션 관리와 관련된 어플리케이션 기능이 종종 잘못 구현되어 발생하는 취약점
ㆍ 공격자들이 암호, 키, 세션 토큰을 위험에 노출시킬 수 있거나 일시적 또는 영구적으로 다른 사용자의 권한 획득을 위해 구현상 결함을 악용하도록 허용
A3 : 민감한 데이터 노출 ( Sensitive Data Exposure )
ㆍ 중요데이터가 암호화 되지 않고 전송될 때 데이터를 탈취하거나 보호가 취약한 데이터를 훔쳐서 발생할 수 있는 취약점
ㆍ 공격자가 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하기 위해 보호가 취약한 데이터를 훔치거나 수정하여 사용자 또는 관리자에게 피해를 입힘
A4 : XML 외부 개체 ( XXE : XML External Entities )
ㆍ 웹에서 활용되는 외부 개체는 파일 URI 처리기, 내부 파일 공유, 내부 포트 스캔, 원격 코드 실행과 서비스 거부 공격을 사용하여 내부 파일을
공개하는데 활용
ㆍ XML 문서의 외부 개체를 확인하는 과정에서 발생하는 취약점
A5 : 취약한 접근 통제 ( Broken Access Control )
ㆍ 인증된 사용자가 수행할 수 있는 작업에 대한 제한이 적용되어 있지 않은 점을 이용한 취약점
ㆍ 권한이 없는 다른 사용자 계정에 접근, 다른 사용자의 데이터 수정, 접근 등의 기능 수행
A6 : 잘못된 보안 구성 ( Security Misconfiguration )
ㆍ 취약한 기본 설정, 미완성, 개방된 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 민감한 정보가 포함된 에러 메시지로 인한 결과
ㆍ 모든 운영체제, 프레임워크, 라이브러리와 어플리케이션을 안전하게 설정 필요
ㆍ 적절한 패치와 업그레이드 진행이 필요
A7 : 크로스 사이트 스크립팅 ( XSS : Cross-Site Scripting )
ㆍ 자바스크립트와 HTML을 생성하는 브라우저 API를 활용한 공격
ㆍ 주로 웹페이지를 업데이트 할 때 발생
ㆍ 사용자 세션 탈취, 웹 사이트 변조, 악성 사이트로 리다이렉션 등의 공격을 수행 가능
A8 : 안전하지 않은 역직렬화 ( Insecure Deserialization )
ㆍ 객체 및 데이터 구조를 이용하여 발생하는 취약점
ㆍ 데이터 변경을 이용하여 접근 통제 우회, 크로스사이트 스크립트 공격 등의 공격 가능
A9 : 알려진 취약점이 있는 구성요소 사용 ( Using Components with Known Vulnerabilities )
ㆍ 취약한 컴포넌트를 이용하여 발생한 취약점
ㆍ 어플리케이션 방어를 약화시키거나 다양한 공격과 영향을 끼칠 가능성이 존재
A10 : 불충분한 로깅 & 모니터링 ( Insufficient Logging & Monitoring )
ㆍ 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자들이 시스템을 공격하고 지속성을 유지할만한 기회를 제공
ㆍ 더 많은 시스템을 중심으로 공격할 수 있게 하며, 데이터를 변조, 추출 또는 파괴할 수 있는 가능성 제공
앞으로 OWASP Top 10을 기반으로 저만의 환경을 구축하고, 하나하나씩 공격 기법들을 시행해본 뒤, 어떤 방식으로 예방하고 대처하는것이 좋을까 ?
에 대해 공부해보고 글을 올리겠습니다.
오늘은 여기까지 입니다 감사합니다 !
'보안 > Web hacking' 카테고리의 다른 글
| Lord of SQL Injection 2번 풀이 (0) | 2018.11.07 |
|---|---|
| Lord of SQL Injection 1번 풀이 (0) | 2018.11.07 |
| SQL Injection / 쿼리 삽입을 통한 인젝션 (0) | 2018.11.02 |
| 웹해킹 실습을 위한 APM, Wordpress 설치 (0) | 2018.11.02 |
| SQL Injection 이란? (0) | 2018.11.02 |